En mati\u00e8re de cryptographie et de s\u00e9curit\u00e9 informatique, les brevets font autorit\u00e9 -constate Vuln\u00e9rabilit\u00e9.com. Mais tout ce qui est brevet\u00e9, n’est pas infaillible. Un chercheur de l’INRIA vient d’en faire la d\u00e9monstration<\/p>\n
La brevetabilit\u00e9 d’un concept ou d’une m\u00e9thode apporte-t-elle toutes les garanties sur son efficacit\u00e9? Dans certains cas, une confiance aveugle accord\u00e9e \u00e0 un brevet peut mettre en p\u00e9ril toute une organisation, ou un syst\u00e8me d’information.
\nUn chercheur de l’INRIA, Fran\u00e7ois Letellier, vient de mettre en \u00e9vidence qu’un algorithme d’authentification, tout brevet\u00e9 qu’il soit, et bien que propos\u00e9 au secteur bancaire, peut \u00eatre \u00ab\u00a0cass\u00e9\u00a0\u00bb.<\/p>\n
Ce chercheur est affect\u00e9 par l’INRIA (Institut National de Recherche en Informatique et Automatique) au comit\u00e9 ex\u00e9cutif d’un consortium d\u00e9nomm\u00e9 ObjectWeb. Ce dernier, co-fond\u00e9 et h\u00e9berg\u00e9 par l’INRIA, a pour objet de regrouper des soci\u00e9t\u00e9s et des membres individuels qui collaborent pour le d\u00e9veloppement de logiciels d’infrastructure distribu\u00e9s (ou \u00ab middleware \u00bb) en Open Source. ObjectWeb compte plus de 50 soci\u00e9t\u00e9s membres, dont Bull, France T\u00e9l\u00e9com, Dassault Aviation, Thales, Red Hat. Les aspects s\u00e9curit\u00e9 sont une facette importante du \u00ab\u00a0middleware\u00a0\u00bb.
\nSes travaux s’inscrivent dans un contexte d’actualit\u00e9: le d\u00e9bat sur la brevetabilit\u00e9 du logiciel. Les praticiens du logiciel Open Source sont pr\u00e9occup\u00e9s par l’impact que pourrait avoir une directive europ\u00e9enne ouvrant la voie \u00e0 une brevetabilit\u00e9 large des inventions mises en \u0153uvre par ordinateur sur le ph\u00e9nom\u00e8ne du logiciel libre et sur son potentiel d’innovation.<\/p>\n
Les conditions d’un brevet europ\u00e9en<\/strong><\/p>\n L’\u00e9tude men\u00e9e par F.Letellier porte sur le brevet europ\u00e9en n\u00b0 EP 0 810 506 B1. Ce brevet concerne une invention mise en \u0153uvre par ordinateur, \u00e0 savoir un m\u00e9canisme d’authentification forte permettant la non r\u00e9pudiation. Il d\u00e9crit un syst\u00e8me mettant uniquement en \u0153uvre des calculateurs ordinaires (ordinateurs) et des canaux de transmission banals (disquette, Internet). La question de la fiabilit\u00e9<\/strong><\/p>\n Lors d’une pr\u00e9sentation le 26 avril dernier, F. Letellier a insist\u00e9 sur le fait que l’\u00e9tude porte exclusivement sur le texte du brevet, \u00e0 l’exclusion de tout autre \u00e9l\u00e9ment. En particulier, aucune op\u00e9ration de \u00ab d\u00e9compilation \u00bb ni aucune attaque contre des syst\u00e8mes informatiques n’a \u00e9t\u00e9 men\u00e9e. Il pr\u00e9cise \u00e9galement que les conclusions de l’\u00e9tude ne concernent ni des produits commerciaux, ni des soci\u00e9t\u00e9s, mais seulement le brevet concern\u00e9.<\/p>\n \u00ab Il est important de comprendre que la question n’est pas ici de savoir si tel ou tel produit est fiable ou non. Il est tout \u00e0 fait possible que des produits commerciaux de tr\u00e8s bonne qualit\u00e9 exploitent le brevet. La question est de savoir quel est l’apport du brevet.<\/p>\n Ici, la conclusion est simple : sur la base du texte du brevet, rien ne permet de penser qu’un syst\u00e8me exploitant le proc\u00e9d\u00e9 est fiable. \u00bb explique F. Letellier.<\/p>\n Le proc\u00e9d\u00e9 d\u00e9crit ici repose sur le principe de l’authentification par d\u00e9fi \/ r\u00e9ponse. Supposons que deux personnes, Alice et Bob, conviennent d’un code secret. Lorsqu’elle a besoin d’authentifier un correspondant, Alice lui envoie un certain nombre de \u00ab d\u00e9fis \u00bb, constitu\u00e9s de couples de coordonn\u00e9es ligne-colonne de cases de la matrice. Bob retourne les bonnes r\u00e9ponses, calcul\u00e9es \u00e0 partir de la matrice d\u00e9cal\u00e9e et du code secret. Le sc\u00e9nario du piratage<\/strong><\/p>\n La question suivante se pose alors: supposons qu’un individu mal intentionn\u00e9 (Oscar) s’empare de la matrice et \u00e9coute un certain nombre de couples d\u00e9fi\/r\u00e9ponse \u00e9chang\u00e9s entre Alice et Bob… Un programme simple de quelques lignes a \u00e9t\u00e9 r\u00e9alis\u00e9 pour valider la possibilit\u00e9 d’une telle attaque. La caution du brevet risque donc d’endormir la vigilance d’exploitants d’inventions mises en \u0153uvre par ordinateur. Alors qu’un industriel ferait certainement peu confiance \u00e0 un proc\u00e9d\u00e9 cryptographique nouveau, le fait de s’appuyer sur une m\u00e9thode brevet\u00e9e pourra, pour le d\u00e9cideur non technicien, donner du cr\u00e9dit \u00e0 un syst\u00e8me pourtant perclus de failles de s\u00e9curit\u00e9… Comment plaider sa bonne foi face \u00e0 un tribunal, alors que l’on se voit opposer la capacit\u00e9 de non r\u00e9pudiation d’un syst\u00e8me brevet\u00e9 ?<\/p>\n En conclusion, cette \u00e9tude met en \u00e9vidence les risques d’une confiance \u00ab aveugle \u00bb accord\u00e9e aux brevets en mati\u00e8re de s\u00e9curit\u00e9 informatique. La r\u00e9vision paritaire, telle que pratiqu\u00e9e par le monde de la recherche ou les cr\u00e9ateurs de logiciels open-source, appara\u00eet indispensable pour les syst\u00e8mes susceptibles d’utilisations critiques comme la cryptographie.<\/p>\n L’absence de travaux ant\u00e9rieurs signifie-t-elle \u00ab invention \u00bb, ou \u00ab fausse bonne id\u00e9e \u00bb ?<\/strong><\/p>\n Il est tr\u00e8s probable qu’un proc\u00e9d\u00e9 tel que celui \u00e9tudi\u00e9 n’ait jamais fait l’objet de publication non parce qu’il est radicalement innovant, mais parce que des cryptographes s\u00e9rieux auront tr\u00e8s vite d\u00e9tect\u00e9 son manque d’int\u00e9r\u00eat.<\/p>\n L’argument du nombre ne tient pas non plus!<\/strong> <\/strong><\/p>\n De m\u00eame, le nombre de brevets d\u00e9pos\u00e9s n’est pas plus un indicateur de mesure d’innovation. Le processus de r\u00e9vision de l’OEB (Organisation Europ\u00e9enne des Brevets) n’a pas mis en lumi\u00e8re les faiblesses du proc\u00e9d\u00e9 ici \u00e9tudi\u00e9. Faute d’\u00eatre confront\u00e9 au monde r\u00e9el, il est tr\u00e8s difficile de prouver la conformit\u00e9 du logiciel aux propri\u00e9t\u00e9s revendiqu\u00e9es. Des m\u00e9thodes formelles pourraient \u00eatre employ\u00e9es, mais cela semble encore hors d’atteinte dans l’\u00e9tat actuel de la technique.<\/p>\n Sur l’exemple de cette \u00e9tude, Fran\u00e7ois Letellier propose alors un crit\u00e8re pour \u00e9valuer le c\u00f4t\u00e9 \u00ab logiciel \u00bb d’une invention. Serait r\u00e9put\u00e9e \u00ab logicielle \u00bb une invention dont le fonctionnement peut \u00eatre confirm\u00e9 ou au contraire r\u00e9fut\u00e9 sans qu’il soit besoin de mener d’exp\u00e9riences mat\u00e9rielles. Puisqu’il semble y avoir consensus sur le fait que le logiciel reste hors du champ du brevetable en Europe, de telles inventions devraient en particulier en \u00eatre exclues.<\/p>\n [source – Silicon.fr] Aur\u00e9lien Cabezon<\/p>\n","protected":false},"excerpt":{"rendered":" En mati\u00e8re de cryptographie et de s\u00e9curit\u00e9 informatique, les brevets font autorit\u00e9 -constate Vuln\u00e9rabilit\u00e9.com. Mais tout ce qui est brevet\u00e9, n’est pas infaillible. Un chercheur de l’INRIA vient d’en faire la d\u00e9monstration<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_citadela_custom_class":"","footnotes":""},"categories":[15],"tags":[],"class_list":["post-4833","post","type-post","status-publish","format-standard","hentry","category-securite"],"_links":{"self":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts\/4833","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4833"}],"version-history":[{"count":0,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts\/4833\/revisions"}],"wp:attachment":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4833"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4833"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4833"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nLe texte du brevet pr\u00e9cise qu’il \u00ab ne n\u00e9cessite pas de modifier la structure d\u00e9j\u00e0 existante des micro-ordinateurs personnels utilis\u00e9s \u00bb et qu’il \u00ab fait appel \u00e0 un support d’authentification connu \u00bb. La seule innovation r\u00e9side dans l’algorithme cryptographique propos\u00e9. Ce brevet a donc tout d’un brevet logiciel. Cela m\u00e9rite d’\u00eatre soulign\u00e9, car aux termes de la directive europ\u00e9enne sur les brevets (art. 52c), les \u00abprogrammes d’ordinateur\u00bb ne sont pas cens\u00e9s \u00eatre brevetables.
\nL’enregistrement de tels brevets d\u00e9montre que la directive en vigueur est facilement contourn\u00e9e et que l’OEB fait preuve de complaisance vis-\u00e0-vis de la brevetabilit\u00e9 d’algorithmes, d\u00e8s lors qu’ils sont pr\u00e9sent\u00e9s en situation.<\/p>\n
Alice g\u00e9n\u00e8re une matrice al\u00e9atoire. Puis, elle effectue sur cette matrice une op\u00e9ration de d\u00e9calage param\u00e9tr\u00e9e par le code secret. La matrice d\u00e9cal\u00e9e est transmise \u00e0 Bob par un moyen fiable. Le texte du brevet propose des modes de r\u00e9alisation dans lesquels la matrice soit stock\u00e9e, par exemple, sur un CD-ROM et le code secret \u00e9chang\u00e9 par courrier postal recommand\u00e9.<\/p>\n
\nSi les r\u00e9ponses correspondent au contenu des cases demand\u00e9es, Alice authentifie Bob. La s\u00e9curit\u00e9 du proc\u00e9d\u00e9 r\u00e9side dans le fait qu’il est impossible \u00e0 un tiers, disons Oscar, de fournir les bonnes r\u00e9ponses
\nuniquement avec la matrice d\u00e9cal\u00e9e.<\/p>\n
\n
\nCe sc\u00e9nario n’a rien d’aberrant, puisque le texte du brevet propose des modes de r\u00e9alisation (CD-ROM, Internet) qui ne prot\u00e8gent ni le canal de transmission ni la matrice d\u00e9cal\u00e9e.
\nIl est d\u00e9montr\u00e9 ici qu’\u00e0 partir de ces \u00e9l\u00e9ments, Oscar peut retrouver le code secret. Mieux: par des attaques heuristiques tr\u00e8s efficaces, il va \u00eatre possible de \u00ab\u00a0casser\u00a0\u00bb le code secret en des temps record, disons quelques minutes avec du mat\u00e9riel d’amateur.<\/p>\n
\nCertes, ce brevet n’est pas stupide, ni inint\u00e9ressant. Mais il propose une m\u00e9thode qui n’est pas suffisante pour garantir les propri\u00e9t\u00e9s revendiqu\u00e9es. Un syst\u00e8me reposant sur ce brevet pourra atteindre un haut niveau de s\u00e9curit\u00e9, s’il s’appuie sur d’autres moyens de protection des transmissions et\/ou des secrets.<\/p>\n
\nEn cas d’intrusion r\u00e9ussie et non d\u00e9tect\u00e9e, la caution du brevet peut s’av\u00e9rer particuli\u00e8rement n\u00e9faste pour l’utilisateur de bonne foi dont on aura usurp\u00e9 l’identit\u00e9.<\/p>\n
\n
\nCette notion est de premi\u00e8re importance pour des organismes de recherche comme l’INRIA, qui sont \u00e9valu\u00e9s sur leurs publications, mais aussi de plus en plus sur le nombre de brevets d\u00e9pos\u00e9s. Puisque le logiciel est \u00e0 ce jour exclu du champ du brevetable, les chercheurs en informatique sont injustement d\u00e9favoris\u00e9s d\u00e8s lors que leur productivit\u00e9 est \u00e9valu\u00e9e sur le nombre de brevets.<\/p>\n