Les courbes standardis´ees [FIP00] [SEC00b] respectent ´evidemment les contraintes de s´ecurit´e dicte´es dans le tableau 2.8. Si un concepteur de circuit s´ecuris´e veut utiliser d’autres courbes que celles qui sont standardis´ees, il doit pr´ealablement s’assurer que les param`etres des courbes qu’il choisit respecte ces contraintes.
11Certicom propose depuis 1997 un challenge : l’industriel publie les param`etres d’une courbe elliptique
qu’il faut cryptanalyser math´ematiquement. Ce challenge a ´et´e cr´e´e afin que les industriels du secteur soient moins r´eticents `a utiliser les courbes elliptiques, en constatant notamment que l’ECDLP est un probl`eme difficile `a r´esoudre. `A titre d’illustration, le challenge Certicom ECCp-109 consistant `a r´esoudre l’ECDLP sur une courbe d´efinie sur un corps premier de longueur 109 bits a ´et´e relev´e en 2002 par une ´
equipe de contributeurs men´ee par Monico. Cela a pris 549 jours de calcul avec plus de 10000 stations de travail ex´ecutant en parall`ele grˆace `a Internet la version parall´elis´ee de l’algorithme Pollard’s ρ pr´esent´ee dans [OW99].
2.3.2
Obtenir une arithm´etique de courbe efficace
Il a ´et´e vu dans la section 2.3.1 que les param`etres a, b et p doivent ˆetre choisis tous les trois correctement afin de pouvoir r´esister aux attaques math´ematiques. Dans cette section, il est ´egalement montr´e que le choix individuel des param`etres a et p peut conduire `a des arithm´etiques de courbe efficaces.
2.3.2.1 Bien choisir le param`etre a
Les courbes standardis´ees [FIP00] [SEC00b] proposent d’utiliser des courbes ellip- tiques ob´eissant `a l’´equation de Weierstrass avec a = −3. Ce choix est justifi´e par le fait que le calcul du doublement en coordonn´ees J et Jcse trouve d´elest´e d’une multiplication
modulaire.
Choisir une courbe avec a = −3 peut a priori apparaˆıtre comme une restriction. Cette section montre ´egalement que ce n’est pas le cas.
Le calcul du doublement en coordonn´ees J (cf. exemple 2.1.) et en coordonn´ees Jc induit une multiplication par la constante a. Or, si cette constante est choisie astucieuse- ment, le doublement peut s’effectuer plus efficacement, en ´economisant des multiplications modulaires.
En particulier, si a = −3, alors l’expression 3X2
1+ aZ14 (cf. exemple 2.1., relation 2.6),
qui conduit initialement au calcul de 3M , peut ˆetre calcul´ee en seulement 2M : 3X12− 3Z4
1 = 3(X1− Z12)(X1+ Z12).
Ainsi, en utilisant cette nouvelle formulation, le coˆut du doublement en coordonn´ees
J (respectivement en coordonn´ees Jc) est ramen´e `a 8M (9M ).
Choisir a = −3 permet donc d’obtenir une arithm´etique des courbes efficace. Reste `a savoir si ce choix se fait au d´etriment d’une perte de g´en´eralit´e. Brier et al. [BJ03b] ont montr´e que pour la plupart des courbes choisies al´eatoirement E1 : y2 = x3 + ax + b, il
existe une isog´enie ϕ de petit degr´e (cf. 2.2.4.1 pour la d´efinition d’une isog´enie), telle que ϕ : E1 → E2, avec E2 : y2 = x3 − 3x + b0. La cons´equence directe de cette observa-
tion est que si un concepteur de circuit s´ecuris´e choisit d’implanter l’arithm´etique d’une courbe ob´eissant `a l’´equation E2, elle pourra ˆetre utilis´ee pour implanter celle relative `a
une courbe d’´equation E1.
Toutes ces raisons justifient donc l’utilisation de courbes de Weierstrass, avec a = −3.
2.3.2.2 Bien choisir le param`etre p
Dans la section 1.2.2, il a ´et´e montr´e que la r´eduction modulaire modulo un nombre premier de Mersenne (g´en´eralis´e) est tr`es efficace.
C’est ces nombres aux propri´et´es particuli`eres que les organismes standardisant des courbes elliptiques proposent d’utiliser [FIP00] [SEC00b] : p192 = 2192 − 264− 1, p224 =
2224 − 296+ 1, p
256 = 2256 − 2224 + 2192 + 296 − 1, p384 = 2384 − 2128 − 296 + 232 − 1,
p521 = 2521− 1.
2.3.3
Synth`ese
Afin d’obtenir des courbes `a l’arithm´etique performante (cf. section 2.3.2), on peut utiliser des courbes de Weierstrass, avec p ´etant un premier de Mersenne, et a = −3. De plus, afin de r´esister aux attaques math´ematiques, il faut que ces courbes munies d’un param`etre b ad´equat r´esistent aux attaques d´etaill´ees dans le tableau 2.8.
Les courbes standardis´ees ob´eissent `a ce raisonnement [FIP00] [SEC00b].
Exemple 2.4. La courbe P-192 standardis´ee par le NIST d’´equation E : y2 =
x3+ ax + b d´
efinie sur Fp a comme param`etres a = −3 et p = 2192− 264− 1 pour
les raisons ´evoqu´ees dans les sections 2.3.2.1 et 2.3.2.2. Pour r´esister aux attaques math´ematiques d´ecrites dans le tableau 2.8, il est choisi :
b = (64210519 E59C80E7 0FA7E9AB 72243049 FEB8DEEC C146B9B1)16.
2.4
Protocoles
Un protocole cryptographique est un algorithme d´efini par une s´equence d’´etapes sp´ecifiant pr´ecis´ement les actions n´ecessaires pour plusieurs parties communicantes afin d’atteindre un des objectifs cryptographique suivant :
1. la confidentialit´e, 2. l’int´egrit´e des donn´ees,
3. l’authentification de l’origine des donn´ees, 4. l’authentification des parties communicantes, 5. la non-r´epudiation.
En plus de ces cinq objectifs principaux, on peut en citer d’autres qui sont compl´e- mentaires, comme par exemple la signature num´erique. Cette derni`ere est tr`es importante notamment pour l’authentification (de l’origine des donn´ees ou des parties communi- cantes), ainsi que pour la non-r´epudiation. La signature num´erique consiste `a relier une partie communicante `a de l’information qu’elle transmet.
Pour illustrer ce qu’est un protocole cryptographique, il est pr´esent´e dans cette sec- tion l’algorithme de signature num´erique sur courbes elliptiques (Elliptic Curve Digital Signature Algorithm, ECDSA) [HMV04], qui est le protocole de signature utilisant les courbes elliptiques le plus largement standardis´e.
Un protocole de signature n´ecessite deux cl´es, l’une priv´ee d, l’autre publique Q. La cl´e priv´ee d permettra `a la premi`ere partie communicante de produire une signature, la
cl´e publique Q permettra `a une seconde partie communicante de v´erifier cette signature. La g´en´eration de ces cl´es est d´ecrite dans l’algorithme 13.
Algorithme 13 G´en´eration des cl´es publique et priv´ee pour l’ECDSA Entr´ees : un point P d’une courbe elliptique E, avec n = ordE(P ).
Sorties : une cl´e publique Q et une cl´e priv´ee d.
1. Choisir al´eatoirement d ∈ [1, n − 1] 2. Q ← [d]P
3. retourner (Q, d)
Si une premi`ere partie communicante veut produire la signature ECDSA (r, s) d’un message m avec sa cl´e priv´ee d, elle utilisera l’algorithme 14. Cet algorithme utilise le calcul d’une multiplication scalaire d’un point de base P , avec n = ordE(P ) (´etape 2). De
plus, cet algorithme de signature a ´egalement besoin d’une fonction de hˆachage H (´etape 7).
Algorithme 14 Signature ECDSA
Entr´ees : un message m et une cl´e priv´ee d. Sorties : une signature (r, s) du message m.
1. Choisir al´eatoirement k ∈ [1, n − 1] 2. [k]P ← (x1, y1) 3. r ← x1 (mod n) 4. si r = 0 alors 5. Aller `a l’´etape 1 6. finsi 7. e ← H(m) 8. s ← k−1(e + dr) (mod n) 9. si s = 0 alors 10. Aller `a l’´etape 1 11. finsi 12. retourner (r, s)
Si une seconde partie communicante veut v´erifier la signature ECDSA (r, s) du mes- sage m produite par la premi`ere partie communicante, elle pourra le faire munie de la cl´e publique Q en utilisant l’algorithme 15.
Preuve que la signature est bien v´erifi´ee. `A la fin de l’´etape 8 de l’algorithme 14, on a :
s ≡ k−1(e + dr) (mod n). (2.12)
La relation 2.12 peut ´egalement s’´ecrire k ≡ s−1(e + dr) (mod n), soit encore :
Algorithme 15 V´erification ECDSA
Entr´ees : un message m, une cl´e publique Q et une signature (r, s). Sorties : « Acceptation » ou « Rejet ».
1. si r, s /∈ [1, n − 1] alors 2. « Rejet » 3. finsi 4. e ← H(m) 5. w ← s−1 (mod n) 6. u1 ← ew (mod n), u2 ← rw (mod n) 7. X = (x1, y1) ← [u1]P + [u2]Q 8. si X = ∞ alors 9. « Rejet » 10. finsi 11. v ← x1 (mod n) 12. si v = r alors 13. « Acceptation » 14. sinon 15. « Rejet » 16. finsi
Ainsi, on calcule `a l’´etape 7 de l’algorithme 15 :
X = [u1]P + [u2]Q = ([u1] + [u2d])P = [k]P
Donc, il faut bien v´erifier `a l’´etape 12 de l’algorithme 15 que v = r.
Concevoir un protocole cryptographique s´ecuris´e ou amener la preuve de la s´ecurit´e d’un protocole est un exercice difficile. On peut raisonnablement penser que la s´ecurit´e d’un protocole repose sur celle des routines qu’il contient : dans le cadre de l’ECDSA, le choix de la courbe elliptique et de la fonction de hˆachage doit ˆetre pertinent.
Cependant, dans le cadre plus large de la conception d’un protocole cryptographique, ce n’est pas suffisant : il faut aussi v´erifier que des conditions particuli`eres sur les variables mises en jeu dans ce protocole ne remette pas en cause sa s´ecurit´e globale.
Par exemple, dans l’algorithme 14, le param`etre k mis en jeu dans la multiplication scalaire de l’´etape 2 doit ˆetre chang´e `a chaque signature. Cette condition trouve sa justi- fication dans ce qui suit.
Si un attaquant utilise le mˆeme k pour g´en´erer deux signatures ECDSA (r, s1) et
(r, s2) de deux messages m1 et m2, si s1 6≡ s2 mod n, il peut trouver k grˆace `a :
Or, d’apr`es la relation 2.12, l’attaquant peut retrouver la cl´e priv´ee d grˆace `a
d = r−1(ks − e) mod n. (2.14)
De la mˆeme mani`ere, une v´erification est plac´ee `a l’´etape 4 de l’algorithme 14 car si un attaquant induit le cas r = 0, sa signature peut ˆetre accept´ee.
D’autres protocoles utilisant des courbes elliptiques sont couramment utilis´es : – pour le chiffrement de donn´ees en utilisant le syst`eme de chiffrement int´egr´e pour
courbes elliptiques (Elliptic Curve Integrated Encryption System, ECIES) [HMV04], – pour l’´echange de cl´es en utilisant le processus de Diffie-Hellman pour courbes
elliptiques (Elliptic Curve Diffie-Hellman, ECDH) [HMV04],
– pour la g´en´eration de cl´es en utilisant le protocole pour courbes elliptiques de Menezes-Qu-Vanstone (Elliptic Curve Menezes-Qu-Vanstone, ECMQV) [HMV04].
2.5
Conclusion de chapitre
Il a pu ˆetre constat´e dans ce chapitre que les courbes elliptiques sont des objets g´eom`etriques et alg´ebriques int´eressants pour faire de la cryptographie.
`
A ce propos, l’op´eration `a effectuer afin de concevoir un cryptosyst`eme bas´e sur les courbes elliptiques est la multiplication scalaire : la s´ecurit´e de ce cryptosyst`eme est donc bas´e sur l’ECDLP, probl`eme math´ematique difficile `a r´esoudre si les param`etres de la courbe sont correctement choisis.
L’arithm´etique des courbes elliptiques est ´egalement tr`es riche.
Il a ´et´e notamment montr´e que le choix pertinent d’un syst`eme de coordonn´ees (pro- jectives ou mixtes) permet d’acc´el´erer le calcul sur ces courbes.
De mˆeme, vu que les algorithmes de multiplication scalaire consistent, pour la plupart, en une s´erie de doublements entrecoup´ee d’additions, une autre source d’optimisations r´eside potentiellement dans le calcul de la quantit´e (Q + P ) + Q au lieu de [2]Q + P , en ´
economisant des calculs de variables interm´ediaires.
Afin de calculer le r´esultat d’une multiplication scalaire, des algorithmes bien plus ef- ficaces que celui basique du « doublement-et-addition » existent : ceux notamment bas´es sur le recodage NAFw ou le DBNS du scalaire sont tr`es performants.
Les courbes standardis´ees ob´eissent `a l’´equation de Weierstrass (cf. relation 2.1). Le choix des trois param`etres de courbe a, b et p est justifiable facilement : pour des raisons d’efficacit´e, a = −3 (il faut noter que le choix de ce param`etre n’est pas restrictif) et p est un nombre premier de Mersenne. Le param`etre b, quant `a lui, est choisi pour r´esister aux attaques math´ematiques sur l’ECDLP.
Si le concepteur de circuits s´ecuris´es n’est pas dans l’obligation d’utiliser des courbes standardis´ees, il peut choisir d’autres courbes `a l’arithm´etique efficace, comme par exemple celles dites de Montgomery ou d’Edwards. Il faut noter que ces deux types de courbes poss`edent une arithm´etique qui ont une r´esistance intrins`eque contre les attaques dites
« par observation » (cf. section 3.1 pour une d´efinition des attaques par observation). Enfin, il a pu ˆetre constat´e que bˆatir un protocole cryptographique bas´e par exemple sur les courbes elliptiques est un art difficile.
Chapitre 3
Attaques
Sommaire
3.1 Attaques par observation . . . 62 3.1.1 Les canaux cach´es . . . 63 3.1.2 Les attaques simples . . . 69 3.1.3 Les attaques diff´erentielles . . . 73 3.1.4 Bilan . . . 79 3.2 Attaques par perturbation . . . 80 3.2.1 Description . . . 80 3.2.2 Forcer le calcul de la multiplication scalaire sur une autre courbe
(cryptographiquement plus faible) . . . 84 3.2.3 Attaquer en conservant la courbe initiale . . . 87 3.2.4 Autres attaques DFA initialement mises en ´evidence sur d’autres
cryptosyst`emes que l’ECC . . . 89 3.2.5 Bilan . . . 91 3.3 Combiner des attaques par observation et par perturbation 92 3.4 Conclusion de chapitre . . . 92
Les conditions pour qu’un cryptosyst`eme embarqu´e bas´e sur l’ECC soit sˆur d’un point de vue math´ematique sont bien connues par les concepteurs de circuits s´ecuris´es (cf. section 2.3.1). Cependant, des implantations mat´erielles de ces cryptosyst`emes peuvent faire l’objet de manipulations frauduleuses, appel´ees commun´ement attaques.
Dans le cas g´en´eral, il a ´et´e mis en ´evidence des attaques : – par observation,
– par perturbation.
Ces deux types d’attaques peuvent ˆetre ´egalement suivant les cas : – non-invasives,
– semi-invasives, – totalement invasives.
Ce chapitre d´etaille dans le cas g´en´eral, puis dans le cas particulier de l’ECC, comment ces attaques peuvent permettre de retrouver la cl´e secr`ete k. Il montre ainsi que ces attaques sont de v´eritables menaces : les concepteurs de circuits s´ecuris´es doivent donc les prendre au s´erieux.
3.1
Attaques par observation
L’observation de certaines caract´eristiques d’un cryptosyst`eme (comme sa consomma- tion ´electrique par exemple) durant la manipulation de la cl´e secr`ete peut permettre de r´ecup´erer cette derni`ere. Ces caract´eristiques sont appel´ees « canaux cach´es ». Le premier document officiel relatant une utilisation d’un canal cach´e date de 1956. Wright [Wri87] raconte que le MI5, le service de renseignement britannique pour lequel il a travaill´e, a concentr´e ses efforts pour « casser » une machine servant `a chiffrer des textes clairs `a l’ambassade ´egyptienne de Londres. Cette machine `a rotors ´etait de type « Hagelin » (cf. figure 3.1).
Fig. 3.1 – Machine `a rotors de type « Hagelin » (source : http ://home.ca.inter.net/ ha- gelin/crypto.html).
Casser la machine d’un point de vue math´ematique exc´edait les capacit´es de calcul du MI5. Aussi, Wright sugg´era de placer un micro pr`es de cette machine afin d’espionner les « clics » produits par celle-ci. Wright d´ecouvrit ainsi que ces clics lui permettait de d´eterminer la position relative de quelques rotors de la machine. Cette information
suppl´ementaire permit au MI5 de diminuer drastiquement le nombre de calculs `a effectuer pour casser cette machine, et il fˆut ainsi capable d’espionner les communications de cette ambassade pendant des ann´ees.
Ainsi, un concept nouveau en cryptanalyse ´etait n´e : un cryptosyst`eme (ici, la machine `
a rotors de type « Hagelin ») qui ´emet un canal cach´e (ici, des clics) d´ependant de la cl´e secr`ete peut permettre `a des attaquants (ici, le MI5) de la r´ecup´erer.
3.1.1
Les canaux cach´es
Il a ´et´e montr´e que les circuits implantant des algorithmes cryptographiques peuvent ´
emettre des canaux cach´es de diff´erentes natures. Les principaux canaux cach´es mis en ´
evidence sont :
– la consommation ´electrique par Kocher et al. [KJJ99],
– le rayonnement ´electromagn´etique par Gandolfi et al. [GMO01] et Quisquater et al. [QS01],
– le temps de calcul par Kocher [Koc96].
Il n’est pas exclu que d’autres canaux cach´es soient mis en exergue dans un proche avenir, comme le son ´emis par un cryptosyst`eme12 par exemple.
3.1.1.1 La consommation ´electrique
Kocher et al. [KJJ99] ont montr´e que la consommation ´electrique d’un cryptosyst`eme est un canal cach´e.
La plupart des cryptosyst`emes implant´es mat´eriellement utilisent la logique compl´e- mentaire pour semiconducteurs m´etal-oxyde (Complementary Metal Oxide Semiconduc- tor, CMOS), qui est la technologie semiconducteur dominante notamment dans la fabri- cation de microprocesseurs, de m´emoires et de circuits int´egr´es `a applications sp´ecifiques (Application Specific Integrated Circuits, ASIC) [Fan06]. Le composant le plus simple dans cette logique est l’inverseur (ou porte NOT, cf. Figure 3.2).
L’inverseur est constitu´e de deux transistors, l’un de type P, l’autre de type N, qui peuvent ˆetre assimil´es `a des interrupteurs contrˆol´es en tension (cf. Figure 3.2, `a gauche). Un signal haute (respectivement basse) tension est interpr´et´e comme un « 1 » (« 0 ») logique.
Si la tension A est `a l’´etat bas, c’est le transistor de type P qui conduit (c’est-`a-dire qu’il se comporte comme un interrupteur ferm´e) tandis que le transistor de type N ne conduit pas ; dans ce cas, il y a un court-circuit qui se cr´ee entre la tension d’alimentation et la sortie, par cons´equent Y est `a l’´etat haut (cf. Figure 3.2, au milieu). Inversement, si A est `a l’´etat haut, alors le transistor de type P ne conduit pas, tandis que le transistor de
12Il est connu que les anciens processeurs des ordinateurs, suivant qu’ils calculent ou non, ´emettent un
son d’une amplitude plus ou moins ´elev´ee. Une augmentation de la consommation du processeur fait vibrer la puce plus fort aux harmoniques de l’horloge. Le site http ://people.csail.mit.edu/tromer/acoustic/ montre que le son produit par un processeur d’ordinateur peut ˆetre analys´e afin de trouver les diff´erentes op´erations ex´ecut´ees par celui-ci. Il reste maintenant `a montrer que cette attaque dite « par analyse du son ´emis » peut ˆetre appliqu´ee sur des syst`emes embarqu´es, comme les cartes `a puce par exemple.
P N 1 1 1 0 0 0 0 1 1 0 circuit: A Y comportement:
Fig. 3.2 – Le sch´ema de l’inverseur (`a gauche), et son comportement (`a droite).
type N conduit ; dans ce cas, il y a un court-circuit qui se cr´ee entre la masse et la sortie, et donc Y est `a l’´etat bas (cf. Figure 3.2, `a droite). Les portes logiques plus complexes (par exemple OR, AND, etc.) ont un comportement global similaire.
Ainsi, pendant un cycle d’horloge, et dans un circuit CMOS constitu´e de nombreuses portes logiques, une grande quantit´e de transistors commutent de la sorte, et le nombre total de ces commutations d´epend de l’op´eration ex´ecut´ee et des valeurs utilis´ees dans le cadre de cette op´eration. Par cons´equent, il peut ˆetre attendu que la puissance consom- m´ee par le circuit change continuellement lorsque le circuit ex´ecute une suite complexe d’op´erations d´ependant de la cl´e secr`ete. Ainsi, en examinant des courbes de consom- mation ayant ´eventuellement subi un traitement statistique, un attaquant peut esp´erer trouver de l’information sur la cl´e secr`ete.
La consommation ´electrique d’un circuit est proportionnelle `a l’intensit´e du courant qui y circule. L’intensit´e du courant peut quant `a elle ˆetre mesur´ee `a l’aide d’une faible r´esistance plac´ee en s´erie avec la tension d’alimentation et en utilisant un oscilloscope nu- m´erique pour mesurer la diff´erence de tension aux bornes de cette r´esistance. Un ordina- teur est ´egalement requis pour l’acquisition des courbes de consommation. Une extension de circuit peut ´egalement ˆetre n´ecessaire pour communiquer avec celui-ci (cf. Figure 3.3). L’ensemble de la chaˆıne d’acquisition doit ˆetre la meilleure possible afin de limiter le bruit inh´erent aux mesures effectu´ees.
Pour les attaques n´ecessitant un tr`es grand nombre d’acquisitions de courbes (telles que les attaques diff´erentielles, cf. section 3.1.3), un serveur est souvent utilis´e pour rece- voir, enregistrer et faire subir un proc´ed´e de traitement de signal aux courbes envoy´ees par l’ordinateur principal. C’est lui ´egalement qui s’occupe du traitement statistique des courbes, et donc de l’attaque proprement dite.
Ainsi, ce type d’attaque est tout-`a-fait r´ealisable de par sa relative simplicit´e et de par son coˆut : c’est donc une menace potentiellement tr`es importante qui p`ese sur les cryptosyst`emes.
Fig. 3.3 – Dispositif pour une attaque par analyse de la consommation ´electrique.
Enfin, il faut noter que les attaques utilisant la mesure de la consommation ´elec- trique (Power Analysis, PA) sont non-invasives, c’est-`a-dire qu’elles ne n´ecessitent pas de modifier ou de d´etruire tout ou partie du cryptosyst`eme.
3.1.1.2 Le rayonnement ´electromagn´etique
Les cercles militaires exploitent depuis longtemps les ph´enom`enes ´electromagn´etiques afin de r´ecup´erer des informations secr`etes. Cette information a ´et´e rendue publique seulement au d´ebut du vingt-et-uni`eme si`ecle grˆace `a des documents ´ecrits par l’agence de s´ecurit´e nationale am´ericaine (National Security Agency, NSA) qui ont ´et´e d´eclass´es13.
Des chercheurs n’ont pas attendu que la NSA divulgue au grand public cette information pour mener des recherches sur ce ph´enom`ene. Notamment, Van Eck dans les ann´ees 80 [Eck85] et Kuhn et al. dans les ann´ees 90 [KA98] ont montr´e tour `a tour que l’on peut reconstituer l’image inscrite sur un ´ecran vid´eo en captant le rayonnement ´electromagn´e- tique produit par celui-ci.
C’est la circulation du courant `a travers un circuit CMOS qui cause son rayonnement ElectroMagn´etique (EM). Un attaquant peut ainsi esp´erer r´ecup´erer des informations sur les op´erations ex´ecut´ees par le cryptosyst`eme (d´ependantes de la cl´e priv´ee) ainsi que sur les variables mises en jeu en analysant ces signaux EM.
Le rayonnement EM ´emis par un cryptosyst`eme peut ˆetre mesur´e globalement ou localement. Lorsqu’un attaquant veut effectuer une mesure globale, il peut entourer l’ensemble du cryptosyst`eme par une sonde en forme de boucle (cf. Figure 3.4) : il effectue donc des mesures dites « en champ proche ». Il peut ´egalement effectuer des mesures dites « en champ lointain » `a plusieurs m`etres du cryptosyst`eme [AARR02]. Dans ce cas, des
13Certains de ces documents peuvent ˆetre trouv´es sur le site : http ://cryptome.info/0001/nacsim-