L'algorithme RSA ( Rivest Shamir Adleman ) est un système à clé publique pour l'échange d'informations confidentielles. La plupart des certificats SSL s'appuient sur cet algorithme RSA. Une paire de clés est créée, une publique pour chiffrer et l'autre privée pour déchiffrer.

Une équipe de mathématiciens et cryptographes a découvert que les clés publiques utilisées pour la protection HTTPS se sont pas si fiables que l'on aurait pu le croire. Le point faible se situe au niveau de la génération aléatoire des clés avec RSA.

Les chercheurs ont examiné une base de données de 7,1 millions de clés publiques utilisées pour la sécurisation d'échanges emails, de transactions bancaires en ligne et d'autres échanges. Il ont constaté que pour un petit pourcentage de ces clés, il n'y avait pas véritablement de caractère aléatoire et dès lors prédictible.

HTTPS Everywhere Responsable de l'étude et professeur à l'École Polytechnique Fédérale de Lausanne en Suisse, Arjen K. Lenstra a déclaré : " certaines personnes peuvent penser que 99,8 % de sécurité c'est très bien. Cela veut néanmoins dire qu'approximativement deux clés sur mille ne seraient pas sûres. "

L'Electronic Frontier Foundation tire la sonnette d'alarme et considère les implications " extrêmement graves " pour la sécurisation des échanges de données. Pour ajouter à la psychose, un deuxième travail de recherche vient de faire surface sur le même problème et la compromission de 0,4 % des clés publiques utilisées pour SSL.

The Register note des divergences entre les deux études : " un groupe reconnaît que le problème affecte les serveurs Web, alors que le second reconnaît qu'il est presque entièrement confiné aux dispositifs embarqués ( routeurs, dispositifs VPN ). "