La prochaine conférence RSA sur la sécurité est le théâtre d’une vaste polémique depuis que plusieurs experts ont annoncé leur intention de boycotter l’évènement. Raison invoquée : l’entreprise a reçu 10 millions de dollars de la part de la NSA pour intégrer dans ses produits un algorithme qu’elle savait être déficient.
Crédits : Edwin Sarmiento, licence Creative Commons
Dual EC_DRBG, l'algorithme du doute
La polémique autour de la conférence RSA 2014 est une suite directe de l’une des révélations autour des méthodes de la NSA pour la surveillance des réseaux. Dans nos colonnes, nous expliquions ainsi comment l’agence de sécurité américaine pouvait participer à l’élaboration de certaines technologies de sécurité. C’était le cas notamment d’un algorithme de génération de nombres aléatoires. Baptisé Dual EC_DRBG, il a été pointé du doigt il y a environ trois semaines par Reuters qui indiquait que RSA avait touché pas moins de 10 millions de dollars pour l’intégrer à sa bibliothèque de chiffrement BSAFE.
Le problème principal n’est pas la somme perçue mais le fait que RSA savait que l’algorithme comportait une faiblesse, en l’occurrence que les nombres n’étaient pas nécessairement aussi aléatoires que souhaité. En outre venaient s’ajouter d’insistantes suspicions sur la présence d’une porte dérobée, offrant de fait à la NSA des moyens d’accès à de nombreuses communications. RSA avait fini par recommander de ne plus utiliser cet algorithme mais le mal était déjà fait.
Plusieurs figures emblématiques ne viendront pas à la conférence
La principale répercussion est pour l’image de RSA. Leur conférence annuelle est l’occasion pour les experts en sécurité de se réunir et plusieurs d’entre eux ont déjà annoncé qu’ils n'y participeraient pas. C’est particulièrement le cas de Mikko Hypponen, le bien connu directeur de recherche chez F-Secure, qui a donné son avis il y a maintenant deux semaines. Voici les autres :
- Adam Langley et Chris Palmer, tous deux travaillant chez Google
- Chris Soghoian, de l’American Civil Liberties Union, association très active depuis les débuts de l’affaire Prism
- Marcia Hoffman, conseillère pour l’Electronic Frontier Foundation
- Alex Fowler, responsable de la protection de la vie privée chez Mozilla
- Josh Thomas, de chez Atredis Partners
- Jeffrey Carr, PDG de Taia Global
Comme le signale Ars Technica, la valeur de l’action a cependant grimpé depuis ces trois dernières semaines pour la maison-mère EMC. Cependant, la conférence RSA est particulièrement visible et attendue, et une série de désistements pourrait être précurseur d’une crise de confiance. Or, la confiance est particulièrement pointée du doigt aujourd’hui dans les affres de l’affaire Edward Snowden, car sa carence pourrait affecter le modèle économique de l’informatique dans le nuage.