Cette méthode d'attaque, appelée « GoFetch » par les découvreurs, ne nécessite pas d'accès administrateur et craint que les attaquants puissent plus facilement exploiter cette vulnérabilité.
Selon l'équipe de développement, « nous ne nous préoccupons pas de la valeur des données pré-extraites, mais le fait que les données intermédiaires ressemblent à une adresse suffit à cartographier le canal de cache et à révéler la clé au fil du temps. » « Cette révélation est particulièrement préoccupante pour les détenteurs, car la clé privée est le fondement de la sécurité du portefeuille numérique et des transactions.
L'impact de GoFetch est tel qu'il affecte non seulement les protocoles de chiffrement traditionnels, mais aussi les protocoles conçus pour se protéger contre les attaques informatiques quantiques. Cela met en danger un large éventail de clés cryptographiques telles que RSA et Diffie-Hellman, ainsi que des algorithmes post-quantiques tels que Kyber-512 et Dilithium-2.
Les chercheurs rapportent que « l'application GoFetch met moins d'une heure pour extraire une clé RSA de 2048 bits et plus de 2 heures pour extraire une clé Diffie-Hellman de 2048 bits ».
La résolution de cette vulnérabilité est un défi majeur en raison de la nature du matériel. Des protections logicielles peuvent être développées, mais les performances sont souvent dégradées, en particulier sur les appareils équipés de puces de la série M plus anciennes.
Les développeurs de crypto-monnaie fonctionnant sur des processeurs M1 et M2 [. « D'autres mesures de protection doivent être utilisées, mais la plupart sont associées à une dégradation significative des performances », ont déclaré les chercheurs, soulignant la route difficile qui attend les développeurs et les utilisateurs.
Apple n’a pas encore publié les résultats de l’enquête GoFetch, la communauté technologique et les utilisateurs de cryptomonnaies attendent donc avec impatience les réponses. En attendant, les chercheurs conseillent aux utilisateurs finaux de garder un œil sur les mises à jour logicielles qui traitent spécifiquement de cette vulnérabilité.
Compte tenu de la lenteur du processus requis pour évaluer manuellement les vulnérabilités de mise en œuvre, la communauté des cryptomonnaies est confrontée à une période d’incertitude et de risque accru.
Jake Simmons s'intéresse à #Bitcoin depuis 2016.
Lisez-nous sur : Compass Investments