sante pour ses concurrentes, ce document sera certainement retransmis dans une communication chiffr´ee entre deux filiales d’une autre entreprise. Suivant un autre sc´enario, le r´ecepteur peut ˆetre tout simplement peu consciencieux et omettre de prot´eger le texte d´echiffr´e. Ce mod`ele d’attaque dit “`a texte clair connu” est donc justifi´e dans de nombreux contextes.
Un attaquant encore plus fort peut ´egalement choisir le texte clair pour observer le r´esultat chiffr´e. Par exemple, dans le cas o`u le dispositif de chif-frement est scell´e et o`u l’attaquant y a acc`es pendant une p´eriode limit´ee, il peut librement faire des exp´eriences dans le but d’attaquer le syst`eme. C’est un mod`ele “`a texte clair choisi”.2
Il existe d’autres mod`eles.
• Les attaques “`a texte chiffr´e choisi”. Mais ce mod`ele est surtout utilis´e dans le contexte de la cryptographie asym´etrique (car pour le chiffre-ment sym´etrique, ce mod`ele est souvent semblable `a celui des attaques
`
a texte chair choisi). 3
• Les attaques `a clefs li´ees. Dans ce mod`ele, on suppose que l’on a plu-sieurs dispositifs de chiffrement qui utilisent des clefs li´ees par certaines propri´et´es. (Par exemple un utilisateur change son mot de passe mais en choisit un peu diff´erent du pr´ec´edent.)4
• Les attaques par clefs faibles. On suppose ici que l’on cherche `a attaquer un syst`eme de chiffrement particulier au sein d’un r´eseau, mais sans savoir lequel a priori. Ce syst`eme se caract´erise en ce qu’il utilise une clef r´eput´ee faible. L’attaquant doit donc pr´ealablement le d´etecter et isoler ce syst`eme des autres.
2.1.2 Puissance de l’Attaquant
La puissance de calcul de l’attaquant est un param`etre important du mod`ele d’attaque. Dans le cas o`u sa puissance est illimit´ee, on s’int´eresse `a la capacit´e d’attaquer `a partir des informations disponibles. Suivant les auteurs, on parle de “mod`ele de la th´eorie de l’information”, de “mod`ele de Shannon”, ou de
“mod`ele de s´ecurit´e parfaite”.
2Les types d’attaques `a texte clair connu ou choisi ou `a texte chiffr´e seulement sont expos´es dans tous les ouvrages de cryptographie. Par exemple, le livre de Stinson [156].
3On appelle parfois “attaques du d´ejeuner” ce mod`ele, car on imagine que l’attaquant peut librement acc´eder au syst`eme de d´echiffrement pendant que ses responsables sont partis d´ejeuner...
4La notion d’attaque `a clefs reli´ees est due `a Biham [25].
La cryptographie asym´etrique utilise beaucoup de mod`eles o`u les at-taquants sont suppos´es incapables de r´esoudre des probl`emes particuliers comme le probl`eme de la factorisation, du logarithme discret, ou encore des probl`emes NP-complets. On s’int´eresse donc naturellement aux attaquants limit´es par un temps de calcul polynomial. Comme les param`etres utilis´es en cryptographie sym´etrique sont moins variables que ceux de la cryptographie asym´etrique, on peut cependant s’interroger sur le sens du “temps de calcul polynomial”. On pr´ef`ere donc limiter la puissance de calcul des attaquants en nombre d’op´erations ´el´ementaires et en nombre d’unit´es de m´emoire. De mˆeme, on s’int´eresse `a la probabilit´e de succ`es de l’attaque.
Dans les mod`eles d’attaque, les param`etres qui caract´erisent la puissance de l’attaquant sont donc
• la complexit´e en nombre d’instructions ´el´ementaires ;
• la complexit´e en nombre de bits de m´emoire utilis´es ;
• la probabilit´e de succ`es.
2.1.3 Objectifs de l’Attaquant
Le but ultime d’un attaquant est de d´ecrypter un message auquel il n’a pas r´eussi `a avoir acc`es physiquement. En effet, dans les mod`eles `a textes clairs connus, il obtient l’acc`es par une faille ind´ependante de l’algorithme de chiffrement. L’objectif de ce m´emoire est l’´etude de la s´ecurit´e apport´ee par l’algorithme mˆeme de chiffrement, il convient donc de s’int´eresser `a la protection des messages qui n’ont pas ´et´e d´evoil´es par d’autres moyens.
Un objectif interm´ediaire consiste `a obtenir la clef secr`ete. Il est clair qu’elle permet de d´ecrypter tout nouveau message. En revanche, il est pos-sible qu’une attaque qui parvient `a d´ecrypter un message donn´e ne permette pas pour autant l’acc`es `a la clef. Le mod`ele de s´ecurit´e contre les attaques par d´ecryptage est donc plus fort que le mod`ele de s´ecurit´e contre les attaques sur la clef.
On utilise un autre mod`ele plus fort : celui des attaques par distingueur.
Dans ce cas, l’objectif est de tester si les informations recueillies proviennent bien de l’algorithme de chiffrement cibl´e ou non. Le r´esultat de l’attaque est donc un bit : “0” ou “1”. Etant donn´e un syst`eme de chiffrement C (respec-tivement C∗), on d´efinit la probabilit´e p (respectivement p∗) que l’attaque retourne le r´esultat “1” lorsque les informations utilis´ees proviennent effecti-vement de ce syst`eme. On mesure alors la capacit´e `a distinguerC deC∗ par la diff´erence|p−p∗|que l’on appelle “avantage”. En g´en´eral, on utilise pour C∗ un syst`eme id´eal de r´ef´erence. L’int´erˆet de ce mod`ele est que si l’on ne
parvient pas `a reconnaˆıtreC, on ne peuta fortioripas d´ecrypter de message.
En effet, si l’on parvient `a d´ecrypter avec succ`es un message, on peut r´ealiser un distingueur qui r´epond “1” lorsque l’attaque fonctionne avec succ`es, et
“0” sinon. Ce mod`ele d’attaque par distingueur est donc plus fort.5