De nouvelles informations révélées par le New York Times mettent encore en lumière les investissements de la NSA dans le domaine de la sécurité. Le journal américain revient notamment sur un protocole de sécurité influencé par l’agence et comment les développeurs de cette dernière ont introduit une porte dérobée pour profiter d’une faiblesse inhérente.
NSA, Fort Mease, crédits : thisisbossi, licence Creative Commons
Un algorithme pourtant défaillant
La semaine dernière, nous avons publié un article faisant l’inventaire des techniques employées par la NSA pour percer les défenses de nombreux produits. Récupération des clés de chiffrement, serveurs surpuissants pour casser le chiffrement quand aucune autre méthode n’est disponible, obtention des données avant qu’elles ne soient chiffrées ou encore participation directe à l’élaboration de certaines technologies : la National Security Agency est sur tous les fronts.
Parmi l’ensemble des exemples cités, on trouvait notamment le cas d’un standard approuvé en 2006 et dont le nom n'avait pas été explicitement donné. La création de cette technique, chapeautée par le NIST (National Institute of Standards and Technology), mettait en évidence quatre algorithmes dont l’un en particulier, estampillé Dual_EC_DRBG, avait pour mission de générer des nombres aléatoires, un critère essentiel pour le chiffrement des données. Pourtant, plusieurs chercheurs, dont deux en particulier, avaient souligné en 2007 que l’algorithme était particulièrement lent et qu’il semblait favoriser des nombres plus que d’autres. La NSA avait alors insisté pour qu’il soit tout de même inclus.
La NSA était bien l'auteur
Dans de nouveaux documents émanant encore une fois du lanceur d’alertes Edward Snowden, le New York Times dévoile que la NSA est bien à l’origine de l’algorithme Dual_EC_DRBG. Le journal souligne qu’au moment des faits, le NIST indiquait simplement qu’une participation de l’agence avait bien été de la partie alors qu’elle en était l’unique auteur. Cela n’avait pas empêché l’institut d’envoyer le futur standard SP 800-90 à l’ISO (International Organization for Standardization).
Ces nouvelles informations surviennent alors même que le NIST s’est exprimé hier sur la question. La crédibilité et la probité de l’institut sont en effets remises en question, et l’organisme a à cœur de s’expliquer : « De récents articles ont remis en question le processus de développement des standards cryptographiques au NIST. Nous souhaitons assurer la communauté de la cybersécurité que le processus transparent et public, utilisé pour vérifier nos standards, est toujours en place. »
Le NIST veut prouver sa transparence
Le NIST explique dans la suite de son communiqué qu’il n’affaiblirait pas volontairement un standard et que sa mission est toujours de « travailler avec la communauté de la cryptographie pour créer les standards de chiffrements les plus forts possibles pour le gouvernement américain et l’ensemble de l’industrie ». Elle confirme en outre que la NSA participe régulièrement à l’élaboration des standards en vertu de son expertise dans le domaine.
Conscient toutefois des critiques formulées à son encontre, l’institut a décidé de rouvrir les commentaires publics sur la version A du standard SP 800-90, ainsi que sur les brouillons des versions B et C, actuellement en cours de création. Le NIST précise en outre que si des vulnérabilités sont découvertes, il travaillera avec la communauté pour les résoudre le plus rapidement possible. Si la page donnée en lien pour publier des commentaires ne fonctionnait pas hier soir, elle est désormais opérationnelle et restera ainsi jusqu'au 6 novembre.
Commentaires (62)
#1
Et voici le code source de l’algorithme:
" />
http://xkcd.com/221/
#2
La NSA s’en prends décidément plein la gueule ces derniers temps
" />
#3
#4
La page fonctionne de mon coté.
Sinon , il se raccroche comme il peuvent mais cela reste inquiétant tout de même
#5
#6
#7
#8
Bah ça fait longtemps qu’on sait que la NSA a développé ou participé à l’élaboration d’algorithme de cryptage, c’est pas vraiment étonnant puisque elle doit être grosse consommatrice de ce genre de technologie.
Et comme dit par les gars du NIST, ils sont expert dans le domaine.
Pendant un temps, on considérait même la participation de la NSA à un algorithme de cryptage comme un gage de sécurité…
Bref, je trouve rien de choquant là dedans.
#9
Un vrai travail d’ingénieurs
#10
Le NIST explique dans la suite de son communiqué qu’il n’affaiblirait pas volontairement un standard et que sa mission est toujours de « travailler avec la communauté de la cryptographie pour créer les standards de chiffrements les plus forts possibles pour le gouvernement américain et l’ensemble de l’industrie ».
Tout est dit
#11
#12
Vincent, toutes ces histoires de backdoor issues des révélations d’Edouard Snowden, ont-elles un rapport avec les rumeurs de 2010 sur une porte dérobée introduite dans BSD par le FBI ?
" />
" />
C’est pas que cet article sur le “NSA-Gate” soit plus en rapport qu’un autre, mais cette question me taraude depuis un moment déjà …
#13
Ben c’est simple: Ne rien utiliser venant de prés ou de loin des US, de la Chine, de la Russie, et de n’importe quel gouvernement.
" />.
J’ai l’impression que petit à petit ce genre d’agence ou d’institut perd toute crédibilité, mais c’est pas comme si ils l’avaient bien cherché
#14
#15
Une question que je me pose :
" />
" />
Si on bosse à la NSA ou autres trucs du même genre, faut-il procéder à un contrôle d’emprunte digitale ou autre pour accéder à la machine à café ?
P’tain je te foutrais tous ces paranos au chômage car à bien y réfléchir ils n’existent dans un pays que parce qu’ils existent dans d’autres pays donc on les vire tous et on est enfin tranquille…
D’autant que ça n’a pas empêché qu’il a fallu plus de 10 ans pour mettre la main sur ben laden qui ne se cachait même pas vraiment, quelle bande de trouducs !!
#16
Ca fera moins rire l’ensemble du monde de l’informatique si on apprend un jour que SElinux est aussi backdooré…
" />
#17
#18
#19
Par contre, le nom ISO n’est pas l’abréviation de International Organization for Standardization mais vient de isos (égal) en grec et a été choisi pour ne favoriser aucune des trois langues officielles de l’organisation (le français, l’anglais, le russe).
" />
Tant qu’à faire on peut donc se contenter de “Organisation internationale de normalisation” ! Et ce n’est pas de la commission de néologisme
#20
#21
Sympa cette infographie
#22
#23
Plus globalement, on peut pas dire que ça fait longtemps que les services de renseignements de toute nationalité participent à ce genre d’algorithme???
" />
" />
C’est pas nouveau il me semble…
#24
#25
#26
#27
#28
#29
#30
#31
#32
#33
#34
#35
#36
#37
Parlez nous un peu des RG pour changer ! Même si ça ne change pas grand chose, les serveurs sont aux USA toutes façons..
#38
#39
qu’il n’affaiblirait pas volontairement un standard
Ce n’est pas comme si la NSA leur avait laissé le choix…
#40
#41
#42
#43
#44
#45
#46
#47
#48
#49
#50
Les standards devraient être validés par une entité internationale non gouvernementale, comme le W3C. Comme ça, si une partie force la main pour implémenter un élément plutôt qu’un autre pour d’obscures raisons, c’est refusé.
#51
#52
#53
#54
#55
#56
#57
#58
#59
#60
#61
#62