All time Branchez-vous Branche Toi BetterBe Nerds Carrières

NSA et EMC, un tango dangereux

Par Benoît Gagnon – le dans Actualités
Il y a de ces nouvelles qui vous font sauter de sur votre sofa.

On se souviendra par exemple du mec qui avait voulu se construire un réacteur nucléaire dans sa cuisine – cela demeurera à tout jamais dans mon palmarès des nouvelles incroyables.

Or, cette semaine on apprenait que la National Security Agency (NSA) avait payé 10 millions de dollars à la compagnie EMC, responsable des clés d’authentification RSA, afin qu’elle continu de commercialiser des méthodes de chiffrement considérées comme défaillantes. C’est en épluchant les documents fournis par Edward Snowden et en discutant avec des sources anonymes que les journalistes de Reuters en sont venus à cette conclusion. Dans la catégorie «nouvelle qui fait sauter du sofa», c’est pas mal difficile à battre.

Un algorithme facilement exploitable

Dans les faits, on est plongé droit dans la vision construite par l’administration de George W. Bush qui invoquait la volonté de sécuriser le territoire national des États-Unis, coûte que coûte.

Tout d’abord, il faut remettre les choses en perspective. L’algorithme visé par l’accord est le Dual_EC_DRBG notamment utilisé dans le logiciel RSA BSAFE. Le fait étant que n’est pas un algorithme très prisé par le monde de la sécurité. Il y a déjà de cela six ans, des chercheurs de Microsoft démontraient que cet algorithme était faillible et pouvait facilement être exploité par un parti tiers. En d’autres mots, savoir que la NSA a exploité la faiblesse de cet algorithme n’est pas vraiment une surprise.

Par contre, là où la nouvelle est ahurissante, c’est lorsqu’on s’attarde aux détails de celle-ci. Premier aspect : savoir que la NSA a versé 10 millions de dollars à la compagnie pour, dans un premier temps, avoir un accès subreptice à la méthode de chiffrement. Si on peut définir la corruption comme étant l’exploitation de moyens jugés illégitimes pour faire agir quelqu’un contre son devoir, notamment en le soudoyant, on peut ainsi déduire qu’on est clairement dans le domaine de la corruption.

Généralement, nous sommes plus habitués de voir de la corruption s’effecteur en provenance du secteur privé, vers le secteur public. Dans le cas présent, il s’agit de la situation inverse. Ce constat est important, car il démontre à quel point le domaine de la sécurité informatique est en dehors des mains de l’État et est principalement contrôlé par le secteur privé.

Second aspect, encore plus inquiétant, c’est de constater que la NSA a réussi à convaincre EMC de maintenir la faiblesse de l’algorithme Dual_EC_DRBG. En d’autres mots, les 10 millions de dollars versés servaient notamment à s’assurer que les rustines publiées ne corrigeraient pas les défauts des méthodes employées par l’entreprise. D’un point de vue de sécurité informatique, ce que la NSA a réussi à faire, c’est de ralentir artificiellement le développement des technologies de sécurité, et ce, pour des raisons de sécurité nationale. C’est un paradoxe discursif qui découle d’une vision implantée déjà au début des années 2000.

Dans les faits, on est plongé droit dans la vision construite par l’administration de George W. Bush qui invoquait la volonté de sécuriser le territoire national des États-Unis, coûte que coûte. Une approche qui, à l’extrême, devient absurde : pour protéger la sécurité du territoire national, les États-Unis sont prêts à diminuer la sécurité globale des activités informatiques, impactant du coup des entreprises et citoyens américains. On tombe dans une logique où la volonté de sécuriser l’intérêt national se fait au détriment d’unités qui le composent. Un illogisme qui, pourtant, est généralement populaire dans la vision de la sécurité de bien des gouvernements.

Une invention?

Aujourd’hui, EMC a publié un communiqué niant catégoriquement l’entente avec la NSA. Soit. Cependant, considérant le genre de document sur lesquels les médias se sont basés pour sortir cette nouvelle – rappelons que les documents publiés par Snowden sont pour l’heure plutôt fiables – il serait surprenant que l’accord soit une invention. Certes, il est peut-être différent que celui qui est présenté, mais il est peu probable qu’il soit inexistant.

Si l’accord intervenu entre la NSA et EMC s’avérait être véridique, ce serait non seulement un précédent hallucinant, mais aussi une méthodologie grave. En effet, en faisant ce genre de manoeuvre, l’administration américaine a franchi le Rubicon en termes d’ingérence dans le développement de la sécurité informatique. Cela veut donc dire qu’il est dorénavant possible d’imaginer que tous les États agissent de cette manière, exploitant ainsi de manière globale ce qui se fait en matière de sécurité de l’information. Au final, le tout contribue probablement beaucoup plus aux criminels informatiques qu’à la sécurité réelle des États.

Vidéo récente
- Actualités

Voici les jeux vidéo de la rentrée 2019 !

Les dernières nouvelles

10 des plus grands flops du jeu vidéo

10 des plus grands flops du jeu vidéo

Daniel Carosella -
Instagram se met au « Dark Mode »

Instagram se met au « Dark Mode »

Branchez-vous -
Instagram Threads : nouvelle application pour communiquer avec vos proches

Instagram Threads : nouvelle application pour communiquer avec vos proches

Branchez-vous -

Plus d'actualités

Surface Duo : Microsoft fait son retour sur le marché des téléphones intelligents

Surface Duo : Microsoft fait son retour sur le marché des téléphones intelligents

Branchez-vous -
Netflix : du contenu gratuit pour les non-abonnés en attendant la concurrence

Netflix : du contenu gratuit pour les non-abonnés en attendant la concurrence

Branchez-vous -
11 jeux à surveiller en octobre !

11 jeux à surveiller en octobre !

Daniel Carosella -

Populaires

Facebook se met au «dark mode» sur Android

Facebook se met au «dark mode» sur Android

Branchez-vous -
Comment payer son accès Netflix (vraiment) moins cher

Comment payer son accès Netflix (vraiment) moins cher

Branchez-vous -
My Activity : Voici tout ce que Google sait sur vous

My Activity : Voici tout ce que Google sait sur vous

Laurent LaSalle -

Benoît Gagnon

Benoît Gagnon est directeur, cybersurveillance et sécurité de l’information pour le Corps canadien des Commissionnaires du Québec et ancien membre des services de renseignement criminels. Il est également membre de Crypto.Québec. Il a prononcé plus de 150 conférences liées à la sécurité et est souvent appelé à commenter l’actualité de sécurité dans les médias.