De nouvelles informations révélées par le New York Times mettent encore en lumière les investissements de la NSA dans le domaine de la sécurité. Le journal américain revient notamment sur un protocole de sécurité influencé par l’agence et comment les développeurs de cette dernière ont introduit une porte dérobée pour profiter d’une faiblesse inhérente.
NSA, Fort Mease, crédits : thisisbossi, licence Creative Commons
Un algorithme pourtant défaillant
La semaine dernière, nous avons publié un article faisant l’inventaire des techniques employées par la NSA pour percer les défenses de nombreux produits. Récupération des clés de chiffrement, serveurs surpuissants pour casser le chiffrement quand aucune autre méthode n’est disponible, obtention des données avant qu’elles ne soient chiffrées ou encore participation directe à l’élaboration de certaines technologies : la National Security Agency est sur tous les fronts.
Parmi l’ensemble des exemples cités, on trouvait notamment le cas d’un standard approuvé en 2006 et dont le nom n'avait pas été explicitement donné. La création de cette technique, chapeautée par le NIST (National Institute of Standards and Technology), mettait en évidence quatre algorithmes dont l’un en particulier, estampillé Dual_EC_DRBG, avait pour mission de générer des nombres aléatoires, un critère essentiel pour le chiffrement des données. Pourtant, plusieurs chercheurs, dont deux en particulier, avaient souligné en 2007 que l’algorithme était particulièrement lent et qu’il semblait favoriser des nombres plus que d’autres. La NSA avait alors insisté pour qu’il soit tout de même inclus.
La NSA était bien l'auteur
Dans de nouveaux documents émanant encore une fois du lanceur d’alertes Edward Snowden, le New York Times dévoile que la NSA est bien à l’origine de l’algorithme Dual_EC_DRBG. Le journal souligne qu’au moment des faits, le NIST indiquait simplement qu’une participation de l’agence avait bien été de la partie alors qu’elle en était l’unique auteur. Cela n’avait pas empêché l’institut d’envoyer le futur standard SP 800-90 à l’ISO (International Organization for Standardization).
Ces nouvelles informations surviennent alors même que le NIST s’est exprimé hier sur la question. La crédibilité et la probité de l’institut sont en effets remises en question, et l’organisme a à cœur de s’expliquer : « De récents articles ont remis en question le processus de développement des standards cryptographiques au NIST. Nous souhaitons assurer la communauté de la cybersécurité que le processus transparent et public, utilisé pour vérifier nos standards, est toujours en place. »
Le NIST veut prouver sa transparence
Le NIST explique dans la suite de son communiqué qu’il n’affaiblirait pas volontairement un standard et que sa mission est toujours de « travailler avec la communauté de la cryptographie pour créer les standards de chiffrements les plus forts possibles pour le gouvernement américain et l’ensemble de l’industrie ». Elle confirme en outre que la NSA participe régulièrement à l’élaboration des standards en vertu de son expertise dans le domaine.
Conscient toutefois des critiques formulées à son encontre, l’institut a décidé de rouvrir les commentaires publics sur la version A du standard SP 800-90, ainsi que sur les brouillons des versions B et C, actuellement en cours de création. Le NIST précise en outre que si des vulnérabilités sont découvertes, il travaillera avec la communauté pour les résoudre le plus rapidement possible. Si la page donnée en lien pour publier des commentaires ne fonctionnait pas hier soir, elle est désormais opérationnelle et restera ainsi jusqu'au 6 novembre.
