La prochaine conférence RSA sur la sécurité est le théâtre d’une vaste polémique depuis que plusieurs experts ont annoncé leur intention de boycotter l’évènement. Raison invoquée : l’entreprise a reçu 10 millions de dollars de la part de la NSA pour intégrer dans ses produits un algorithme qu’elle savait être déficient.
Crédits : Edwin Sarmiento, licence Creative Commons
Dual EC_DRBG, l'algorithme du doute
La polémique autour de la conférence RSA 2014 est une suite directe de l’une des révélations autour des méthodes de la NSA pour la surveillance des réseaux. Dans nos colonnes, nous expliquions ainsi comment l’agence de sécurité américaine pouvait participer à l’élaboration de certaines technologies de sécurité. C’était le cas notamment d’un algorithme de génération de nombres aléatoires. Baptisé Dual EC_DRBG, il a été pointé du doigt il y a environ trois semaines par Reuters qui indiquait que RSA avait touché pas moins de 10 millions de dollars pour l’intégrer à sa bibliothèque de chiffrement BSAFE.
Le problème principal n’est pas la somme perçue mais le fait que RSA savait que l’algorithme comportait une faiblesse, en l’occurrence que les nombres n’étaient pas nécessairement aussi aléatoires que souhaité. En outre venaient s’ajouter d’insistantes suspicions sur la présence d’une porte dérobée, offrant de fait à la NSA des moyens d’accès à de nombreuses communications. RSA avait fini par recommander de ne plus utiliser cet algorithme mais le mal était déjà fait.
Plusieurs figures emblématiques ne viendront pas à la conférence
La principale répercussion est pour l’image de RSA. Leur conférence annuelle est l’occasion pour les experts en sécurité de se réunir et plusieurs d’entre eux ont déjà annoncé qu’ils n'y participeraient pas. C’est particulièrement le cas de Mikko Hypponen, le bien connu directeur de recherche chez F-Secure, qui a donné son avis il y a maintenant deux semaines. Voici les autres :
- Adam Langley et Chris Palmer, tous deux travaillant chez Google
- Chris Soghoian, de l’American Civil Liberties Union, association très active depuis les débuts de l’affaire Prism
- Marcia Hoffman, conseillère pour l’Electronic Frontier Foundation
- Alex Fowler, responsable de la protection de la vie privée chez Mozilla
- Josh Thomas, de chez Atredis Partners
- Jeffrey Carr, PDG de Taia Global
Comme le signale Ars Technica, la valeur de l’action a cependant grimpé depuis ces trois dernières semaines pour la maison-mère EMC. Cependant, la conférence RSA est particulièrement visible et attendue, et une série de désistements pourrait être précurseur d’une crise de confiance. Or, la confiance est particulièrement pointée du doigt aujourd’hui dans les affres de l’affaire Edward Snowden, car sa carence pourrait affecter le modèle économique de l’informatique dans le nuage.
Commentaires (41)
#1
Ça commence à bouger un peu " />
Sachant que les solutions RSA sont très utilisées en entreprise, je vois mal un intérêt autre que l’espionnage industriel à cette manœuvre de la NSA…
#2
Il me semble que ce chiffrement n’est pas forcément utilisé par les token, c’est au choix du commanditaire. Non ?
#3
#4
#5
#6
#7
C’est des pourris chez RSA d’avoir accepté de compromettre la sécurité de leurs clients " />
En même temps c’est une entreprise américaine, est-ce qu’il ont eu le choix ou est-ce qu’on leur a forcé la main…
#8
#9
#10
#11
#12
#13
#14
Je me demande si fred42 a un commentaire sur le sujet.
edit : Seuls les paranoïaques survivent.
#15
#16
#17
#18
#19
#20
#21
#22
#23
#24
#25
#26
#27
#28
#29
#30
#31
#32
Crise de confiance : la conférence RSA 2014 perd ses experts en chiffrement
Ouais bon, en même temps quand je vois un sigle se finissant en SA, ça me fait penser de suite à NSA, du coup…confiance=0 " />" />" />
#33
#34
Je me souviens de cours de sécurité autour de l’an 2000 où déjà les intervenants se défiaient de tout ce qui venait des USA…
#35
#36
#37
#38
#39
#40
#41