On se souviendra par exemple du mec qui avait voulu se construire un réacteur nucléaire dans sa cuisine – cela demeurera à tout jamais dans mon palmarès des nouvelles incroyables.
Or, cette semaine on apprenait que la National Security Agency (NSA) avait payé 10 millions de dollars à la compagnie EMC, responsable des clés d’authentification RSA, afin qu’elle continu de commercialiser des méthodes de chiffrement considérées comme défaillantes. C’est en épluchant les documents fournis par Edward Snowden et en discutant avec des sources anonymes que les journalistes de Reuters en sont venus à cette conclusion. Dans la catégorie «nouvelle qui fait sauter du sofa», c’est pas mal difficile à battre.
Un algorithme facilement exploitable
Dans les faits, on est plongé droit dans la vision construite par l’administration de George W. Bush qui invoquait la volonté de sécuriser le territoire national des États-Unis, coûte que coûte.
Tout d’abord, il faut remettre les choses en perspective. L’algorithme visé par l’accord est le Dual_EC_DRBG notamment utilisé dans le logiciel RSA BSAFE. Le fait étant que n’est pas un algorithme très prisé par le monde de la sécurité. Il y a déjà de cela six ans, des chercheurs de Microsoft démontraient que cet algorithme était faillible et pouvait facilement être exploité par un parti tiers. En d’autres mots, savoir que la NSA a exploité la faiblesse de cet algorithme n’est pas vraiment une surprise.
Par contre, là où la nouvelle est ahurissante, c’est lorsqu’on s’attarde aux détails de celle-ci. Premier aspect : savoir que la NSA a versé 10 millions de dollars à la compagnie pour, dans un premier temps, avoir un accès subreptice à la méthode de chiffrement. Si on peut définir la corruption comme étant l’exploitation de moyens jugés illégitimes pour faire agir quelqu’un contre son devoir, notamment en le soudoyant, on peut ainsi déduire qu’on est clairement dans le domaine de la corruption.
Généralement, nous sommes plus habitués de voir de la corruption s’effecteur en provenance du secteur privé, vers le secteur public. Dans le cas présent, il s’agit de la situation inverse. Ce constat est important, car il démontre à quel point le domaine de la sécurité informatique est en dehors des mains de l’État et est principalement contrôlé par le secteur privé.
Second aspect, encore plus inquiétant, c’est de constater que la NSA a réussi à convaincre EMC de maintenir la faiblesse de l’algorithme Dual_EC_DRBG. En d’autres mots, les 10 millions de dollars versés servaient notamment à s’assurer que les rustines publiées ne corrigeraient pas les défauts des méthodes employées par l’entreprise. D’un point de vue de sécurité informatique, ce que la NSA a réussi à faire, c’est de ralentir artificiellement le développement des technologies de sécurité, et ce, pour des raisons de sécurité nationale. C’est un paradoxe discursif qui découle d’une vision implantée déjà au début des années 2000.
Dans les faits, on est plongé droit dans la vision construite par l’administration de George W. Bush qui invoquait la volonté de sécuriser le territoire national des États-Unis, coûte que coûte. Une approche qui, à l’extrême, devient absurde : pour protéger la sécurité du territoire national, les États-Unis sont prêts à diminuer la sécurité globale des activités informatiques, impactant du coup des entreprises et citoyens américains. On tombe dans une logique où la volonté de sécuriser l’intérêt national se fait au détriment d’unités qui le composent. Un illogisme qui, pourtant, est généralement populaire dans la vision de la sécurité de bien des gouvernements.
Une invention?
Aujourd’hui, EMC a publié un communiqué niant catégoriquement l’entente avec la NSA. Soit. Cependant, considérant le genre de document sur lesquels les médias se sont basés pour sortir cette nouvelle – rappelons que les documents publiés par Snowden sont pour l’heure plutôt fiables – il serait surprenant que l’accord soit une invention. Certes, il est peut-être différent que celui qui est présenté, mais il est peu probable qu’il soit inexistant.
Si l’accord intervenu entre la NSA et EMC s’avérait être véridique, ce serait non seulement un précédent hallucinant, mais aussi une méthodologie grave. En effet, en faisant ce genre de manoeuvre, l’administration américaine a franchi le Rubicon en termes d’ingérence dans le développement de la sécurité informatique. Cela veut donc dire qu’il est dorénavant possible d’imaginer que tous les États agissent de cette manière, exploitant ainsi de manière globale ce qui se fait en matière de sécurité de l’information. Au final, le tout contribue probablement beaucoup plus aux criminels informatiques qu’à la sécurité réelle des États.