Selon des révélations de l'agence Reuters, la NSA aurait conclu un arrangement secret avec la société de cryptographie RSA (propriété de EMC), pour s'assurer d'être en capacité de déchiffrer les communications masquées avec certains des algorithmes proposés par la firme. L'accord, dont la date n'est pas indiquée par Reuters, apparaîtrait dans des documents transmis par Edward Snowden.
L'agence, qui rappelle que RSA avait été le principal diffuseur d'un logiciel (Bsafe) exploitant par défaut une méthode de chiffrement pour laquelle la NSA disposait d'un backdoor, affirme désormais que l'entreprise aurait reçu de l'agence de sécurité américaine 10 millions de dollars pour privilégier l'algorithme cassable par la NSA, le Dual Elliptic Curve Deterministic Random Bit Generator (Dual EC DRBG). La somme, très faible au regard de la confidentialité de millions d'utilisateurs, représentait un tiers du chiffre d'affaires de la filiale concernée. Reuters dit avoir deux "sources proches du dossier" pour corroborer cette information, démentie vivement par RSA.
"RSA, en tant qu'entreprise de sécurité, ne divulgue jamais les détails de ses engagements auprès de ses clients, mais nous disons aussi catégoriquement que nous ne sommes jamais entré dans aucune relation contractuelle ni dans aucun projet avec l'intention d'affaiblir les produits de RSA, ou d'introduire de potentiels "backdoors" dans nos produits à l'intention de quiconque", réplique la société dans un communiqué.
RSA affirme que sa décision d'utiliser le Dual EC DRBG par défaut dans Bsafe a été prise en 2004 dans un climat de consensus auprès des experts de la sécurité, et qu'il n'a continué à l'utiliser après les premières polémiques en 2007 qu'en suivant l'avis du NIST, l'institut américain de normalisation.
Les accusations de Reuters confortent néanmoins celles de Théodore Ts'o, le créateur de la fonction de génération de nombres aléatoires /dev/random de Linux, après que le backdoor de Dual EC DRBG fut découvert en septembre dernier. Il s'était dit "content d'avoir résisté aux pressions des ingénieurs d'Intel" qui voulaient une clé générée exclusivement à partir du processeur. Sous-entendant, ainsi, qu'Intel avait lui-même cédé à l'influence de la NSA.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.