S'attaquer aux problèmes de sécurité est un défi et la cryptographie est un domaine avec un impact potentiel important. Il y a longtemps, un développeur open source m'a conseillé de ne pas travailler sur la cryptographie à moins d'avoir au moins un master.

Liboqs- La bibliothèque dans les coulisses

Liboqs est une nouvelle bibliothèque cryptographique conçue pour vous protéger contre la menace posée par les ordinateurs quantiques, qui peuvent décrypter vos communications et envahir votre vie privée grâce à des techniques mathématiques avancées. Quelle est la gravité de la menace des ordinateurs quantiques ? En réalité, n’importe qui peut aujourd’hui stocker votre trafic crypté et le décrypter une fois qu’il a accès à un ordinateur quantique. Certaines grandes entreprises proposent déjà l’accès à ces ordinateurs quantiques expérimentaux.

Liboqs est maintenu par cyberstorm.mu et le groupe de recherche Resilient and Innovative Computing Research Group (RICRG) de l'Université de Maurice.

(https://www.uom.ac.mu/FOICDT/index.php/research-groups?view=article&id=88&catid=16)

Ritesh Gomind et Sheik Muhammad Ali Koheeallee sont 2 étudiants de l'Université de Maurice qui travaillent sur la recherche sur la cryptographie quantique résistante aux ordinateurs et s'assurent que Liboqs est correctement pris en charge dans « pkgsrc », qui est NetBSD directeur chargé d'emballage.

L’un des défis liés à la mise en œuvre d’un correctif de sécurité pour une bibliothèque cryptographique réside dans la variation des architectures et des technologies de compilateur. NetBSD est une excellente plate-forme pour cette tâche, car elle vous permet de travailler sur plusieurs ordinateurs et de tester les cassures de code. Notamment, NetBSD continue de prendre en charge les ordinateurs Intel 32 bits, tandis que Linux les supprime progressivement.

En bref, la mise en œuvre d'un correctif de sécurité pour une bibliothèque cryptographique revient à construire un pont robuste qui doit résister à différentes conditions météorologiques et types de terrain. Chaque architecture et technologie de compilateur représente un défi unique pour assurer la stabilité et la sécurité du pont. NetBSD agit comme un chantier de construction polyvalent, permettant aux ingénieurs de construire et de tester des ponts dans divers environnements et conditions. Surtout, NetBSD prend toujours en charge les ordinateurs Intel 32 bits, contrairement à Linux, qui abandonne progressivement la prise en charge de ces anciens systèmes, ajoutant ainsi une couche de complexité supplémentaire au processus de construction.

Le problème de sécurité, nom de code CVE-2024-36405, implique la fuite de la clé secrète Kyber, un algorithme conçu pour résister aux ordinateurs quantiques. Quelqu'un a réussi à écrire du code exploitant cette vulnérabilité. Le NIST a reconnu la gravité du problème et lui a attribué un CVE. Grâce à la profonde implication de Cyberstorm.mu, nous avons pris connaissance du problème de sécurité plus tôt que la plupart des autres et avons travaillé 24 heures sur 24 pour expérimenter le correctif proposé et analyser le problème.

Aucun code n’est parfait, notamment le code cryptographique, qui est très sensible. Les compilateurs ont souvent du mal à comprendre pleinement les subtilités du code cryptographique, ce qui rend difficile la garantie de son exactitude. De plus, tester le code cryptographique pose son propre ensemble de difficultés.

Cryptographie post-quantique à Maurice

Maurice est désormais reconnue comme étant très active dans la cryptographie post-quantique, un domaine dans lequel de nombreux pays, comme Singapour, fixent des délais fermes pour la transition afin de protéger les données sensibles, y compris les transactions bancaires. Nous souhaitons exprimer notre gratitude à l’Université de Maurice et au Resilient and Innovative Computing Research Group (RICRG) pour leur partenariat. Par ailleurs, d’autres universités, dont l’Université des Mascareignes et l’Université de Technologie, nous rejoignent dans cet effort.

Une question légitime se pose : pourquoi Cyberstorm.mu n’a-t-il pas partagé les détails plus tôt à Maurice ? En raison de la nature de notre travail, nous sommes liés par des accords de confidentialité. Les gens nous confient des informations sensibles sur des questions de sécurité, et cette confiance est basée sur nos antécédents.

Combien d’entreprises mauriciennes étaient conscientes de ce problème ? Cyberstorm.mu aurait aimé pouvoir collaborer avec eux, mais nous manquons actuellement d'une plateforme efficace pour faciliter la coopération entre toutes les entreprises sur ces questions.

Article par Loganaden Velvindron, Membre de cyberstorm.mu