Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Gemalto frappé de plein fouet par la faille Infineon

La semaine dernière, des chercheurs montraient comment il était possible de dériver une clé privée depuis une publique si la paire avait été générée par des puces produites chez Infineon depuis au moins 2012, via une bibliothèque spécifique.

Gemalto a confirmé récemment que ses smartcards IDPrime.NET étaient bien concernées, sur une période nettement plus longue. Les chercheurs d’Enigma Bridge ont ainsi contrôlé 11 smartcards de Gemalto, sorties entre 2008 et cette année. Toutes les paires de clés étaient vulnérables. Via des instances Amazon Web Services, ils récupéraient ainsi des clés RSA 1024 en quelques heures, et 2048 en quelques jours.

Gemalto ne communique pas sur le nombre de cartes vendues. Elles sont cependant sur le marché depuis 2004, Ars Technica évoquant « des dizaines ou centaines de millions » de produits écoulés depuis.

Microsoft, qui utilise les smartcards IDPrime.NET depuis le début, a indiqué à nos confrères évaluer actuellement la situation. Ce n’est sans doute pas la dernière annonce du genre, car les puces Infineon sont très répandues depuis une quinzaine d’années.

13 commentaires
Avatar de hellmut Abonné
Avatar de hellmuthellmut- 25/10/17 à 09:13:18

Elles sont cependant sur le marché depuis 2004, Ars Technica évoquant « des dizaines ou centaines de millions » de produits écoulés depuis.

:eeek2:

Avatar de Ricard INpactien
Avatar de RicardRicard- 25/10/17 à 09:19:43

hellmut a écrit :

:eeek2:

Une paille. :fumer:

Avatar de Meptalon Abonné
Avatar de MeptalonMeptalon- 25/10/17 à 09:38:44

La direction de Gemalto étant de toute façon maintenantsous contrôle de la NSA (ça avait d'ailleur causé de grosses frictions lors de la prise de contrôle), faut-il encore s'en étonner ? Se laisser des backdoors étant leur marque de fabrique, il faut arrêter de pleurer quand elles finissent par être exploitéees par d'autres.

Avatar de Carpette INpactien
Avatar de CarpetteCarpette- 25/10/17 à 10:38:37

L'action a quasiment ete divisee par 2 depuis qq mois et etrangement il n'y a pas de baisse brute correspondant a cette nouvelle. Bombe a retardement ?

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 25/10/17 à 10:54:03

Carpette a écrit :

L'action a quasiment ete divisee par 2 depuis qq mois et etrangement il n'y a pas de baisse brute correspondant a cette nouvelle. Bombe a retardement ?

Bien vu...

Avatar de Kwacep Abonné
Avatar de KwacepKwacep- 25/10/17 à 12:01:43

A quoi servent ces "smartcard" ? Et comment sont-elles présentes dans les pc ?

Avatar de Ozwel INpactien
Avatar de OzwelOzwel- 25/10/17 à 12:36:35

Il s'agit de smartcard qui permettent d'héberger des certificats x509 (et de lé générer dans certains cas si l'utilisateur/admin souhaite que ce soit la carte qui le fasse). Ces certificats sont ensuite utilisés pour authentifier l'utilisateur pour différentes choses comme par exemple ouverture de session Windows, VPN, chiffrement de mails via S/MIME, etc.

Avatar de Kwacep Abonné
Avatar de KwacepKwacep- 25/10/17 à 15:32:17

Merci de l'explication :chinois:

Je voie que ce n'est pas un petit problème du coup...

Avatar de Bejarid INpactien
Avatar de BejaridBejarid- 25/10/17 à 16:32:33

Bah quand tu t'ennuies à insérer une telle carte dans ton process c'est que t'as vraiment besoin d'une sécurité fiable dans un maximum de cas. Le fait que ses certificats ne valent plus rien met à terre tout le système, qui non seulement doit être modifié pour utiliser une autre carte (qui n'existe pas encore d'ailleurs, si ?), mais également invalide tout ce qu'a produit ce système précédemment (car le certificat n'est plus fiable).

J'imagine quelques cas où c'est juste catastrophique et peut générer une perte considérable...

Avatar de Pazns Abonné
Avatar de PaznsPazns- 25/10/17 à 18:55:13

On montre du doigt Gemalto, mais c'est pas plutôt Infineon qui a merdé grave ?

Il n'est plus possible de commenter cette actualité.
Page 1 / 2