Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Un protocole de sécurité issu de la NSA sous le feu des critiques

Tentative de transparence

De nouvelles informations révélées par le New York Times mettent encore en lumière les investissements de la NSA dans le domaine de la sécurité. Le journal américain revient notamment sur un protocole de sécurité influencé par l’agence et comment les développeurs de cette dernière ont introduit une porte dérobée pour profiter d’une faiblesse inhérente.

nsa

NSA, Fort Mease, crédits : thisisbossi, licence Creative Commons

Un algorithme pourtant défaillant

La semaine dernière, nous avons publié un article faisant l’inventaire des techniques employées par la NSA pour percer les défenses de nombreux produits. Récupération des clés de chiffrement, serveurs surpuissants pour casser le chiffrement quand aucune autre méthode n’est disponible, obtention des données avant qu’elles ne soient chiffrées ou encore participation directe à l’élaboration de certaines technologies : la National Security Agency est sur tous les fronts.

 

Parmi l’ensemble des exemples cités, on trouvait notamment le cas d’un standard approuvé en 2006 et dont le nom n'avait pas été explicitement donné. La création de cette technique, chapeautée par le NIST (National Institute of Standards and Technology), mettait en évidence quatre algorithmes dont l’un en particulier, estampillé Dual_EC_DRBG, avait pour mission de générer des nombres aléatoires, un critère essentiel pour le chiffrement des données. Pourtant, plusieurs chercheurs, dont deux en particulier, avaient souligné en 2007 que l’algorithme était particulièrement lent et qu’il semblait favoriser des nombres plus que d’autres. La NSA avait alors insisté pour qu’il soit tout de même inclus.

La NSA était bien l'auteur

Dans de nouveaux documents émanant encore une fois du lanceur d’alertes Edward Snowden, le New York Times dévoile que la NSA est bien à l’origine de l’algorithme Dual_EC_DRBG. Le journal souligne qu’au moment des faits, le NIST indiquait simplement qu’une participation de l’agence avait bien été de la partie alors qu’elle en était l’unique auteur. Cela n’avait pas empêché l’institut d’envoyer le futur standard SP 800-90 à l’ISO (International Organization for Standardization).

 

Ces nouvelles informations surviennent alors même que le NIST s’est exprimé hier sur la question. La crédibilité et la probité de l’institut sont en effets remises en question, et l’organisme a à cœur de s’expliquer : « De récents articles ont remis en question le processus de développement des standards cryptographiques au NIST. Nous souhaitons assurer la communauté de la cybersécurité que le processus transparent et public, utilisé pour vérifier nos standards, est toujours en place. »

Le NIST veut prouver sa transparence

Le NIST explique dans la suite de son communiqué qu’il n’affaiblirait pas volontairement un standard et que sa mission est toujours de « travailler avec la communauté de la cryptographie pour créer les standards de chiffrements les plus forts possibles pour le gouvernement américain et l’ensemble de l’industrie ». Elle confirme en outre que la NSA participe régulièrement à l’élaboration des standards en vertu de son expertise dans le domaine.

 

Conscient toutefois des critiques formulées à son encontre, l’institut a décidé de rouvrir les commentaires publics sur la version A du standard SP 800-90, ainsi que sur les brouillons des versions B et C, actuellement en cours de création. Le NIST précise en outre que si des vulnérabilités sont découvertes, il travaillera avec la communauté pour les résoudre le plus rapidement possible. Si la page donnée en lien pour publier des commentaires ne fonctionnait pas hier soir, elle est désormais opérationnelle et restera ainsi jusqu'au 6 novembre.

62 commentaires
Avatar de Snark Abonné
Avatar de SnarkSnark- 12/09/13 à 06:45:05

Et voici le code source de l'algorithme:
http://xkcd.com/221/:D

Avatar de JCDentonMale INpactien
Avatar de JCDentonMaleJCDentonMale- 12/09/13 à 06:49:33

La NSA s'en prends décidément plein la gueule ces derniers temps :langue:

Avatar de linkin623 Abonné
Avatar de linkin623linkin623- 12/09/13 à 06:50:03

Snark a écrit :

Et voici le code source de l'algorithme:
http://xkcd.com/221/:D

:incline:

Avatar de geloud INpactien
Avatar de geloudgeloud- 12/09/13 à 06:50:05

La page fonctionne de mon coté.

Sinon , il se raccroche comme il peuvent mais cela reste inquiétant tout de même

Avatar de Lancelot_ INpactien
Avatar de Lancelot_Lancelot_- 12/09/13 à 06:56:29

Snark a écrit :

Et voici le code source de l'algorithme:
http://xkcd.com/221/:D

J'ai pensé à la même chose. :smack:

Avatar de bobo38 INpactien
Avatar de bobo38bobo38- 12/09/13 à 06:58:44

Snark a écrit :

Et voici le code source de l'algorithme:
http://xkcd.com/221/:D

:mdr2:

Avatar de Tim-timmy INpactien
Avatar de Tim-timmyTim-timmy- 12/09/13 à 07:10:22

Snark a écrit :

Et voici le code source de l'algorithme:
http://xkcd.com/221/:D

et avec http://dilbert.com/strips/comic/2001-10-25/ , plus ancien :p

Édité par tim-timmy le 12/09/2013 à 07:11
Avatar de Choub INpactien
Avatar de ChoubChoub- 12/09/13 à 07:11:34

Bah ça fait longtemps qu'on sait que la NSA a développé ou participé à l'élaboration d'algorithme de cryptage, c'est pas vraiment étonnant puisque elle doit être grosse consommatrice de ce genre de technologie.

Et comme dit par les gars du NIST, ils sont expert dans le domaine.

Pendant un temps, on considérait même la participation de la NSA à un algorithme de cryptage comme un gage de sécurité...

Bref, je trouve rien de choquant là dedans.

Avatar de donutboy63 INpactien
Avatar de donutboy63donutboy63- 12/09/13 à 07:12:03

Un vrai travail d'ingénieurs

Édité par tempa le 12/09/2013 à 07:12
Avatar de anonyme_751eb151a3e6ce065481d43bf0d18298 INpactien

Le NIST explique dans la suite de son communiqué qu’il n’affaiblirait pas volontairement un standard et que sa mission est toujours de « travailler avec la communauté de la cryptographie pour créer les standards de chiffrements les plus forts possibles pour le gouvernement américain et l’ensemble de l’industrie ».

Tout est dit :fumer:

Il n'est plus possible de commenter cette actualité.
Page 1 / 7