La société de cybersécurité Rapid7 a révélé une analyse qui confirme, grâce à l’ingénierie inverse, qu’une famille de ransomwares appelée Kyber utilise ML-KEM 1024, une norme de cryptographie post-quantique approuvée par le National Institute of Standards and Technology (NIST) des États-Unis.
Le but du blindage post-quantique est protéger la clé avec laquelle vous chiffrez les fichiers de vos victimesselon les chercheurs dans le rapport publié ce 21 avril sur le site spécialisé Ars Technica.
Selon Brett Callow, analyste des menaces au sein de la société Emsisoft cité dans le rapport, Il s’agit du premier cas confirmé de ransomware utilisant la cryptographie post-quantique.
La famille Kyber, active depuis au moins septembre de l’année dernière, tire son nom de la norme ML-KEM elle-mêmeégalement connu sous le nom de Kyber dans la littérature cryptographique.
La coïncidence n’est pas une coïncidence, puisque le groupe à l’origine du ransomware a choisi ce nom pour souligner son utilisation du schéma post-quantique, tandis que Rapid7 a confirmé son implémentation au moins dans la variante du malware qui attaque les systèmes Windows.
Les ransomwares, quant à eux, sont un type de logiciel malveillant qui crypte les fichiers de la victime et exige un paiement, généralement sous forme d’actifs cryptographiques, en échange du retour de l’accès.
Comment fonctionne le schéma post-quantique dans Kyber ?
Selon l’analyse, le malware ne crypte pas les fichiers directement avec la norme post-quantique, car cette procédure serait trop lente. Au lieu de cela, il génère une clé aléatoire selon le schéma AES-256 (un cryptage symétrique déjà résistant aux attaques quantiques) et crypte les fichiers avec cette clé.
Alors, utilisez ML-KEM 1024 pour protéger la clé AES. De cette façon, seul l’attaquant peut récupérer la clé d’origine et décrypter les données. Selon Anna Širokova, chercheuse chez Rapid7 et auteur de l’analyse, la mise en œuvre de ML-KEM a nécessité peu de travail : il existe des bibliothèques open source disponibles et bien documentées qui permettent d’intégrer le schéma en ajoutant une dépendance au projet.
Cependant, les recherches de Rapid7 ont révélé que toutes les variantes de ransomware ne correspondent pas à leurs propres affirmations.
La version de Kyber qui attaque les systèmes VMware (une plate-forme de virtualisation largement utilisée dans les environnements d’entreprise) prétend utiliser ML-KEM, mais l’ingénierie inverse a révélé qu’elle chiffre en fait la clé avec RSA de 4 096 bits. Ce schéma traditionnel prendrait encore plus de temps à être compromis par un ordinateur quantique que par ML-KEM lui-même.
Pourquoi utilisent-ils la sécurité post-quantique dans Kyber ?
L’élément le plus frappant de l’analyse est que L’utilisation de la cryptographie post-quantique n’apporte aucun réel avantage technique aux attaquants.
D’Ars Technica, ils soulignent que les ordinateurs quantiques capables d’exécuter l’algorithme de Shor (la procédure mathématique qui permettrait de briser les schémas RSA et de courbe elliptique) seront dans au moins trois ans, et probablement bien plus encore. La demande de rançon Kyber, en revanche, donne aux victimes juste une semaine pour payer. Cet horizon temporel rend tout avantage post-quantique hors de propos.
Selon Širokova, la raison pour laquelle ils utilisent la cryptographie chez Kyber est “marketing dirigé vers les victimes”«. “Le cryptage post-quantique semble bien plus effrayant que” nous utilisons AES “, en particulier pour les décideurs non techniques qui évaluent s’ils doivent payer ou non”, a déclaré le chercheur dans un e-mail cité par Ars Technica.
«C’est une astuce psychologique. Ils ne s’inquiètent pas que quelqu’un brise le cryptage dans dix ans. “Ils veulent un paiement dans les 72 heures”, a-t-il ajouté. La cible n’est pas les équipes techniques des entreprises victimes mais les dirigeants et les avocats qui décident de céder ou non au sauvetage et qui Ils pourraient associer le terme post-quantique à une force cryptographique insurmontable..
L’affaire Kyber est significative non pas tant par sa sophistication technique que par ce qu’elle révèle sur l’écosystème des cybermenaces. La cryptographie post-quantique, un sujet qui circulait jusqu’à récemment principalement dans papiers universitaires et équipes de recherche, est déjà suffisamment reconnaissable pour fonctionner comme une arme d’ingénierie sociale.
