C’est un mouvement de transparence autant qu’une vision commerciale : la société RSA Security recommande désormais à ses clients de ne plus utiliser certains composants critiques dans ses produits car ils intègrent un algorithme possédant une porte dérobée de la NSA. Une annonce qui fait suite à la découverte faite récemment par le New York Times.
Crédits : Edwin Sarmiento, licence Creative Commons
Il y a deux semaines, nous relations dans nos colonnes comment la NSA avait transformé internet en « une vaste plateforme de surveillance ». L’agence de sécurité américaine utilise en effet diverses techniques pour obtenir les informations qu’elle souhaite, notamment via la récupération des clés de chiffrement, la puissance de calcul pour casser ce dernier quand aucune autre voie n’est possible, ou encore l’aspiration des données avant qu’elles ne soient chiffrées.
Parmi les points abordés, nous indiquions également que l’agence était capable de s’introduire dans les processus de création de certains standards de sécurité. Nous évoquions en particulier le cas de l’algorithme Dual_EC_DRBG, destiné à la génération de nombres pseudo-aléatoires. Après examen, il s’était avéré que certains chiffres semblaient ressortir plus souvent, mais la NSA avait poussé le NIST (National Institute of Standards and Technology) à en faire un standard.
Un standard tel qu’on le retrouve dans de nombreux produits, en particulier certains composants de la société RSA Security. Cette célèbre entreprise a donc fait le choix de recommander officiellement à ses clients de ne plus utiliser les fonctionnalités basées sur cet algorithme en attendant qu’une solution soit trouvée. Le message s’adresse en particulier aux clients du produit B-SAFE : « RSA recommande fortement que les clients arrêtent d’utiliser Dual EC DRBG et surtout vers un PRNG différent », un PRNG étant un générateur de nombres pseudo-aléatoires.
La situation est particulière pour RSA Security. L’entreprise a certainement une carte à jouer au niveau de la transparence, mais une question demeure : pourquoi maintenant ? L’entreprise dispose vraisemblablement d’un très haut degré de compétence dans le domaine du chiffrement, et les soupçons au sujet de l’algorithme Dual_EC_DRBG existent depuis 2007. Un hasard du calendrier qui ne manquera d’en étonner certains.
