du 25 octobre 2017
Date

Choisir une autre édition

Gemalto frappé de plein fouet par la faille Infineon

La semaine dernière, des chercheurs montraient comment il était possible de dériver une clé privée depuis une publique si la paire avait été générée par des puces produites chez Infineon depuis au moins 2012, via une bibliothèque spécifique.

Gemalto a confirmé récemment que ses smartcards IDPrime.NET étaient bien concernées, sur une période nettement plus longue. Les chercheurs d’Enigma Bridge ont ainsi contrôlé 11 smartcards de Gemalto, sorties entre 2008 et cette année. Toutes les paires de clés étaient vulnérables. Via des instances Amazon Web Services, ils récupéraient ainsi des clés RSA 1024 en quelques heures, et 2048 en quelques jours.

Gemalto ne communique pas sur le nombre de cartes vendues. Elles sont cependant sur le marché depuis 2004, Ars Technica évoquant « des dizaines ou centaines de millions » de produits écoulés depuis.

Microsoft, qui utilise les smartcards IDPrime.NET depuis le début, a indiqué à nos confrères évaluer actuellement la situation. Ce n’est sans doute pas la dernière annonce du genre, car les puces Infineon sont très répandues depuis une quinzaine d’années.

chargement Chargement des commentaires...