Amusez-vous avec les attaques par analyse temporelle : exploiter les subtiles différences de temps pour craquer les mots de passe
Cet article dévoile une technique d’attaque astucieuse connue sous le nom d’attaque par analyse temporelle. En appelant à plusieurs reprises une fonction apparemment sécurisée, `checkSecret`, et en mesurant précisément son temps d’exécution, un attaquant peut en déduire la valeur secrète. Même si `checkSecret` ne présente aucune faille de sécurité évidente, son mécanisme interne de « sortie anticipée » fait que les suppositions partiellement correspondantes prennent plus de temps, ce qui entraîne une fuite d’informations. L’article détaille comment exploiter cette différence de temps, en combinant l’échantillonnage de Thompson et une structure de données Trie pour deviner efficacement les mots de passe, et discute de la gestion des complexités du bruit du réseau. Enfin, l’article souligne l’importance d’éviter la comparaison directe des données sensibles, en recommandant l’utilisation de hachages ou d’autres algorithmes sécurisés, et en mettant en place des limites de débit robustes.
Lire plus