En septembre 2013, une enquête du New York Times a mis en lumière une tactique employée par la NSA pour lire les communications sur Internet, même lorsque celles-ci sont chiffrées. Sur la base des documents confidentiels révélés par Edward Snowden, le journal américain a montré que l'agence de sécurité nationale n'a pas hésité à affaiblir un algorithme de cryptographie pour le rendre vulnérable.
L'algorithme en question s'intitule le Dual EC_DRBG et sa mission consiste à générer des nombres pseudo-aléatoires. Il a été standardisé dans le cadre d'un processus de validation conduit par l'institut national des normes et de la technologie (NIST). Toutefois, des spécialistes ont fini par s'interroger sur la présence d'une éventuelle porte dérobée permettant au concepteur de l'algorithme de prédire les nombres générés.
LES ERREURS DU NIST
Naturellement, une polémique a surgi. Le NIST est censé fournir des recommandations de très grande qualité. Or, la lenteur d'exécution de l'algorithme, causée par la porte dérobée, n'a pas été jugée suffisante pour remettre en cause la standardisation. Il faut dire que celui qui a eu la charge de mettre au point l'algorithme, c'est-à-dire la NSA, a vivement insisté pour que le processus suive son cours.
Soucieux de redorer son blason, le NIST a avancé un certain nombre de pistes pour améliorer son processus de standardisation.
Des audits ont donc été engagés, concluant d'une part que le NIST a fait preuve d'une confiance excessive à l'égard de la NSA et jugeant d'autre part que l'institut n'a pas assez de personnel. Des embauches d'experts doivent donc avoir lieu pour contrebalancer le point de vue (et l'influence) de l'agence de sécurité nationale sur les standards cryptographiques.
CLARIFIER LES LIENS AVEC LA NSA
Mais ce n'est pas tout. Le NIST veut aussi modifier la manière dont il traite avec la NSA. C'est pourquoi l'institut lance un appel à commentaires pour élaborer un nouveau cadre dans lequel s'inscriront les relations entre les deux entités. Les internautes ont jusqu'au 27 mars pour contribuer.
"Ce nouveau brouillon se penche sur les interactions du NIST avec la NSA, en expliquant comment les agences travaillent ensemble et quelles sont les mesures qui sont maintenant en place pour s'assurer que les contributions de la NSA au processus d'élaboration des standards sont transparentes", écrit l'institut national des normes et de la technologie.
Par exemple, il est question de bien identifier toutes les contributions de la NSA. "Les nouveaux processus de validation vont permettre au NIST d'attribuer à la NSA tous les algorithmes, les standards ou les lignes directrice provenant du personnel de l'agence", explique l'institut, avant d'ajouter que cela s'applique aussi aux commentaires reçus.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.