L'un des anciens cadres de la NSA, alors responsable de la recherche, a fait part de ses regrets sur la façon dont l'agence s'est comportée avec l'algorithme Dual EC_DRBG, qu'elle savait vulnérable. À ses yeux, la NSA aurait dû le laisser tomber. Au lieu de quoi, elle l'a soutenu.

C'est un aveu inattendu, mais qui relance le débat autour des missions confiées à la NSA. Dans un article à paraître le mois prochain dans une revue universitaire dédiée aux mathématiques, l'ancien directeur de la recherche de la NSA explique qu'il regrette la décision de l'agence de sécurité nationale de continuer à soutenir l'algorithme Dual EC_DRBG alors qu'elle savait qu'il était vulnérable

Dans l'article repéré par Slashdot, Michael Wertheimer indique que le choix de la NSA s'est avéré "regrettable" alors que des chercheurs en sécurité informatique avaient justement détecté des vulnérabilités dans cette méthode destinée à générer des nombres pseudo-aléatoires (Dual Elliptic Curve Deterministic Random Bit Generator), et s'étaient également interrogés sur leur provenance.

"Avec le recul, la NSA aurait dû cesser de soutenir l'algorithme Dual EC_DRBG immédiatement après la découverte par les chercheurs d'une potentielle trappe" qui permet de fausser le caractère aléatoire des nombres générés, explique Michael Wertheimer, ce qui facilite ensuite le déchiffrement des communications lorsque celles-ci utilisent cette méthode pour se protéger.

Le problème posé par cet algorithme remonte au milieu des années 2000 lorsque les premiers soupçons sont apparus dans la communauté des cryptographes. La lenteur d'exécution de Dual EC_DRBG par rapport à d'autres méthodes du même ordre a finalement permis de déceler une porte dérobée, qui sert au concepteur de l’algorithme, en l'occurrence la NSA, à deviner les nombres générés aléatoirement.

À la suite de l'affaire Snowden, des articles dans la presse américaine ont décrit plus précisément la stratégie de la NSA pour obtenir la validation d'un algorithme de cryptographie altéré, en forçant la main de l'institut national des normes et de la technologie, mais aussi pour l'imposer  par défaut dans le logiciel de sécurité BSafe fourni par la société RSA.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !