All time Branchez-vous Branche Toi BetterBe Nerds Carrières

NSA et EMC, un tango dangereux

Par Benoît Gagnon – le dans Actualités
Il y a de ces nouvelles qui vous font sauter de sur votre sofa.

On se souviendra par exemple du mec qui avait voulu se construire un réacteur nucléaire dans sa cuisine – cela demeurera à tout jamais dans mon palmarès des nouvelles incroyables.

Or, cette semaine on apprenait que la National Security Agency (NSA) avait payé 10 millions de dollars à la compagnie EMC, responsable des clés d’authentification RSA, afin qu’elle continu de commercialiser des méthodes de chiffrement considérées comme défaillantes. C’est en épluchant les documents fournis par Edward Snowden et en discutant avec des sources anonymes que les journalistes de Reuters en sont venus à cette conclusion. Dans la catégorie «nouvelle qui fait sauter du sofa», c’est pas mal difficile à battre.

Un algorithme facilement exploitable

Dans les faits, on est plongé droit dans la vision construite par l’administration de George W. Bush qui invoquait la volonté de sécuriser le territoire national des États-Unis, coûte que coûte.

Tout d’abord, il faut remettre les choses en perspective. L’algorithme visé par l’accord est le Dual_EC_DRBG notamment utilisé dans le logiciel RSA BSAFE. Le fait étant que n’est pas un algorithme très prisé par le monde de la sécurité. Il y a déjà de cela six ans, des chercheurs de Microsoft démontraient que cet algorithme était faillible et pouvait facilement être exploité par un parti tiers. En d’autres mots, savoir que la NSA a exploité la faiblesse de cet algorithme n’est pas vraiment une surprise.

Par contre, là où la nouvelle est ahurissante, c’est lorsqu’on s’attarde aux détails de celle-ci. Premier aspect : savoir que la NSA a versé 10 millions de dollars à la compagnie pour, dans un premier temps, avoir un accès subreptice à la méthode de chiffrement. Si on peut définir la corruption comme étant l’exploitation de moyens jugés illégitimes pour faire agir quelqu’un contre son devoir, notamment en le soudoyant, on peut ainsi déduire qu’on est clairement dans le domaine de la corruption.

Généralement, nous sommes plus habitués de voir de la corruption s’effecteur en provenance du secteur privé, vers le secteur public. Dans le cas présent, il s’agit de la situation inverse. Ce constat est important, car il démontre à quel point le domaine de la sécurité informatique est en dehors des mains de l’État et est principalement contrôlé par le secteur privé.

Second aspect, encore plus inquiétant, c’est de constater que la NSA a réussi à convaincre EMC de maintenir la faiblesse de l’algorithme Dual_EC_DRBG. En d’autres mots, les 10 millions de dollars versés servaient notamment à s’assurer que les rustines publiées ne corrigeraient pas les défauts des méthodes employées par l’entreprise. D’un point de vue de sécurité informatique, ce que la NSA a réussi à faire, c’est de ralentir artificiellement le développement des technologies de sécurité, et ce, pour des raisons de sécurité nationale. C’est un paradoxe discursif qui découle d’une vision implantée déjà au début des années 2000.

Dans les faits, on est plongé droit dans la vision construite par l’administration de George W. Bush qui invoquait la volonté de sécuriser le territoire national des États-Unis, coûte que coûte. Une approche qui, à l’extrême, devient absurde : pour protéger la sécurité du territoire national, les États-Unis sont prêts à diminuer la sécurité globale des activités informatiques, impactant du coup des entreprises et citoyens américains. On tombe dans une logique où la volonté de sécuriser l’intérêt national se fait au détriment d’unités qui le composent. Un illogisme qui, pourtant, est généralement populaire dans la vision de la sécurité de bien des gouvernements.

Une invention?

Aujourd’hui, EMC a publié un communiqué niant catégoriquement l’entente avec la NSA. Soit. Cependant, considérant le genre de document sur lesquels les médias se sont basés pour sortir cette nouvelle – rappelons que les documents publiés par Snowden sont pour l’heure plutôt fiables – il serait surprenant que l’accord soit une invention. Certes, il est peut-être différent que celui qui est présenté, mais il est peu probable qu’il soit inexistant.

Si l’accord intervenu entre la NSA et EMC s’avérait être véridique, ce serait non seulement un précédent hallucinant, mais aussi une méthodologie grave. En effet, en faisant ce genre de manoeuvre, l’administration américaine a franchi le Rubicon en termes d’ingérence dans le développement de la sécurité informatique. Cela veut donc dire qu’il est dorénavant possible d’imaginer que tous les États agissent de cette manière, exploitant ainsi de manière globale ce qui se fait en matière de sécurité de l’information. Au final, le tout contribue probablement beaucoup plus aux criminels informatiques qu’à la sécurité réelle des États.

Vidéo récente
- Actualités

La NASA prévoit d'explorer Mars à l'horizon 2033

Les dernières nouvelles

Cryptomonnaies : tout ce qu’il faut savoir avant de se lancer

Cryptomonnaies : tout ce qu’il faut savoir avant de se lancer

Branchez-vous -
EMUI 10 : les 35 smartphones compatibles

EMUI 10 : les 35 smartphones compatibles

Branchez-vous -
Faille sur Windows 10 : 800 millions de personnes touchées

Faille sur Windows 10 : 800 millions de personnes touchées

Branchez-vous -

Plus d'actualités

La mission ExoMars 2020 reportée à cause d’un problème technique

La mission ExoMars 2020 reportée à cause d’un problème technique

Branchez-vous -
Discrimination : Youtube attaqué par des membres de la communauté LGBTQ

Discrimination : Youtube attaqué par des membres de la communauté LGBTQ

Matthieu Carlier -
Risque d’explosion : certains Macbook Pro de 15 pouces interdits de vol

Risque d’explosion : certains Macbook Pro de 15 pouces interdits de vol

Branchez-vous -

Populaires

Facebook se met au «dark mode» sur Android

Facebook se met au «dark mode» sur Android

Branchez-vous -
Mozilla : Firefox va changer de nom

Mozilla : Firefox va changer de nom

Branchez-vous -
Sous Android, Google se débarrasse des mots de passe sur certains sites

Sous Android, Google se débarrasse des mots de passe sur certains sites

Branchez-vous -

Benoît Gagnon

Benoît Gagnon est directeur, cybersurveillance et sécurité de l’information pour le Corps canadien des Commissionnaires du Québec et ancien membre des services de renseignement criminels. Il est également membre de Crypto.Québec. Il a prononcé plus de 150 conférences liées à la sécurité et est souvent appelé à commenter l’actualité de sécurité dans les médias.