All time Nerds BetterBe Carrières

NSA et EMC, un tango dangereux

Par Benoît Gagnon – le dans Actualités
Il y a de ces nouvelles qui vous font sauter de sur votre sofa.

On se souviendra par exemple du mec qui avait voulu se construire un réacteur nucléaire dans sa cuisine – cela demeurera à tout jamais dans mon palmarès des nouvelles incroyables.

Or, cette semaine on apprenait que la National Security Agency (NSA) avait payé 10 millions de dollars à la compagnie EMC, responsable des clés d’authentification RSA, afin qu’elle continu de commercialiser des méthodes de chiffrement considérées comme défaillantes. C’est en épluchant les documents fournis par Edward Snowden et en discutant avec des sources anonymes que les journalistes de Reuters en sont venus à cette conclusion. Dans la catégorie «nouvelle qui fait sauter du sofa», c’est pas mal difficile à battre.

Un algorithme facilement exploitable

Dans les faits, on est plongé droit dans la vision construite par l’administration de George W. Bush qui invoquait la volonté de sécuriser le territoire national des États-Unis, coûte que coûte.

Tout d’abord, il faut remettre les choses en perspective. L’algorithme visé par l’accord est le Dual_EC_DRBG notamment utilisé dans le logiciel RSA BSAFE. Le fait étant que n’est pas un algorithme très prisé par le monde de la sécurité. Il y a déjà de cela six ans, des chercheurs de Microsoft démontraient que cet algorithme était faillible et pouvait facilement être exploité par un parti tiers. En d’autres mots, savoir que la NSA a exploité la faiblesse de cet algorithme n’est pas vraiment une surprise.

Par contre, là où la nouvelle est ahurissante, c’est lorsqu’on s’attarde aux détails de celle-ci. Premier aspect : savoir que la NSA a versé 10 millions de dollars à la compagnie pour, dans un premier temps, avoir un accès subreptice à la méthode de chiffrement. Si on peut définir la corruption comme étant l’exploitation de moyens jugés illégitimes pour faire agir quelqu’un contre son devoir, notamment en le soudoyant, on peut ainsi déduire qu’on est clairement dans le domaine de la corruption.

Généralement, nous sommes plus habitués de voir de la corruption s’effecteur en provenance du secteur privé, vers le secteur public. Dans le cas présent, il s’agit de la situation inverse. Ce constat est important, car il démontre à quel point le domaine de la sécurité informatique est en dehors des mains de l’État et est principalement contrôlé par le secteur privé.

Second aspect, encore plus inquiétant, c’est de constater que la NSA a réussi à convaincre EMC de maintenir la faiblesse de l’algorithme Dual_EC_DRBG. En d’autres mots, les 10 millions de dollars versés servaient notamment à s’assurer que les rustines publiées ne corrigeraient pas les défauts des méthodes employées par l’entreprise. D’un point de vue de sécurité informatique, ce que la NSA a réussi à faire, c’est de ralentir artificiellement le développement des technologies de sécurité, et ce, pour des raisons de sécurité nationale. C’est un paradoxe discursif qui découle d’une vision implantée déjà au début des années 2000.

Dans les faits, on est plongé droit dans la vision construite par l’administration de George W. Bush qui invoquait la volonté de sécuriser le territoire national des États-Unis, coûte que coûte. Une approche qui, à l’extrême, devient absurde : pour protéger la sécurité du territoire national, les États-Unis sont prêts à diminuer la sécurité globale des activités informatiques, impactant du coup des entreprises et citoyens américains. On tombe dans une logique où la volonté de sécuriser l’intérêt national se fait au détriment d’unités qui le composent. Un illogisme qui, pourtant, est généralement populaire dans la vision de la sécurité de bien des gouvernements.

Une invention?

Aujourd’hui, EMC a publié un communiqué niant catégoriquement l’entente avec la NSA. Soit. Cependant, considérant le genre de document sur lesquels les médias se sont basés pour sortir cette nouvelle – rappelons que les documents publiés par Snowden sont pour l’heure plutôt fiables – il serait surprenant que l’accord soit une invention. Certes, il est peut-être différent que celui qui est présenté, mais il est peu probable qu’il soit inexistant.

Si l’accord intervenu entre la NSA et EMC s’avérait être véridique, ce serait non seulement un précédent hallucinant, mais aussi une méthodologie grave. En effet, en faisant ce genre de manoeuvre, l’administration américaine a franchi le Rubicon en termes d’ingérence dans le développement de la sécurité informatique. Cela veut donc dire qu’il est dorénavant possible d’imaginer que tous les États agissent de cette manière, exploitant ainsi de manière globale ce qui se fait en matière de sécurité de l’information. Au final, le tout contribue probablement beaucoup plus aux criminels informatiques qu’à la sécurité réelle des États.

Continuez votre lecture

Espionner un ordinateur hors ligne? La NSA a une application pour ça

Espionner un ordinateur hors ligne? La NSA a une application pour ça

Laurent LaSalle -
Thomas A. Drake et l’inefficacité du régime de surveillance de masse

Thomas A. Drake et l’inefficacité du régime de surveillance de masse

Benoît Gagnon -
Barack Obama appelle à une réforme de la NSA

Barack Obama appelle à une réforme de la NSA

Laurent LaSalle -
Microsoft et son plan audacieux pour contrer la NSA

Microsoft et son plan audacieux pour contrer la NSA

Laurent LaSalle -
La NSA et le GCHQ auraient piraté le plus important fabricant de cartes SIM au monde

La NSA et le GCHQ auraient piraté le plus important fabricant de cartes SIM au monde

Laurent LaSalle -
Apple, Google et Microsoft se positionnent contre les pratiques de la NSA

Apple, Google et Microsoft se positionnent contre les pratiques de la NSA

Laurent LaSalle -
Vie et mort de TrueCrypt

Vie et mort de TrueCrypt

Benoît Gagnon -
Quoi penser de l’ère post-Snowden?

Quoi penser de l’ère post-Snowden?

Benoît Gagnon -
La NSA collecte 5 milliards d’enregistrements de téléphones mobiles au quotidien

La NSA collecte 5 milliards d’enregistrements de téléphones mobiles au quotidien

Laurent LaSalle -
Gmail est plus sécuritaire, mais vous n’êtes pas à l’abri de la NSA

Gmail est plus sécuritaire, mais vous n’êtes pas à l’abri de la NSA

Laurent LaSalle -
La NSA a espionné WikiLeaks et ses lecteurs

La NSA a espionné WikiLeaks et ses lecteurs

Laurent LaSalle -
Surveillance et technologie de l’information : fin de l’anonymat et de la neutralité de l’Internet

Surveillance et technologie de l’information : fin de l’anonymat et de la neutralité de l’Internet

Benoît Gagnon -
La NSA collectionne les visages de millions d’internautes

La NSA collectionne les visages de millions d’internautes

Laurent LaSalle -
La Cour d’appel des États-Unis déclare illégale la surveillance téléphonique de la NSA

La Cour d’appel des États-Unis déclare illégale la surveillance téléphonique de la NSA

Barack Obama s’apprête à réformer la NSA

Barack Obama s’apprête à réformer la NSA

Laurent LaSalle -

Benoît Gagnon

Benoît Gagnon est directeur, cybersurveillance et sécurité de l’information pour le Corps canadien des Commissionnaires du Québec et ancien membre des services de renseignement criminels. Il est également membre de Crypto.Québec. Il a prononcé plus de 150 conférences liées à la sécurité et est souvent appelé à commenter l’actualité de sécurité dans les médias.