Pointée du doigt pour avoir altéré un algorithme de chiffrement, la NSA a éclaboussé indirectement l'institut national des normes et de la technologie (NIST), chargée de valider des nouvelles normes cryptographiques. Cette dernière compte redorer son blason et procéder publiquement à un audit de ses procédures.

Au début du mois de septembre, le New York Times a publié un article décrivant le plan de la NSA lui ayant permis d'altérer un algorithme de cryptographie. Basée sur les documents transmis par l'ancien analyste Edward Snowden, l'enquête du quotidien américain a ainsi illustré l'une des pistes employées par l'agence de renseignement pour lire les messages, malgré le chiffrement.

L'algorithme en question, baptisé Dual_EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generator), sert à générer des nombres pseudo-aléatoires. À l'origine, la NSA souhaitait concevoir une méthode qui serait élevée au rang de standard, mais dans laquelle se trouverait une porte dérobée. Le but de l'agence ? Être en mesure de prédire les nombres générés par Dual_EC_DRBG.

La NSA a donc développé l'algorithme de A à Z puis l'a soumis à l'institut national des normes et de la technologie (NIST), lequel l'a validé en 2006. Mais l'année suivante, deux chercheurs ont justement mis en lumière cette portée dérobée. C'est d'ailleurs cette dernière qui empêche le DUAL_EC_DRBG de fonctionner aussi vite que d'autres algorithmes du même ordre.

Comme l'a expliqué l'un de nos membres sur le forum, la porte dérobée implique un jeu de constantes exploitées par l'algorithme et inclus dans les spécifications, mais dont le mécanisme de génération en nécessite un autre, qui lui n'a pas été publié et n'est connu de la NSA. D'où l'insistance de cette dernière pour que le DUAL_EC_DRBG soit quand même validé par le NIST.

Suite à la publication de l'article du New York Times, l'institut national des normes et de la technologie a publié un communiqué pour rappeler que le processus d'élaboration des normes cryptographiques au NIST est "public" et "transparent" et que cette méthodologie est toujours d'actualité. L'organisme de normalisation a également assuré qu'il "n'a pas délibérément affaibli un standard cryptographique".

Reste que l'image du NIST a été écornée et cette affaire a jeté un voile de suspicion sur les autres algorithmes de chiffrement. La NSA a-t-elle influencé la conception d'autres standards, au point de les altérer ? Face à cette inquiétude, le NIST a invité chacun à participer à la consultation publique relative aux diverses versions du Dual_EC_DRBG, afin de vérifier l'algorithme.

Deux mois après la publication du papier du New York Times, le NIST souhaite manifestement faire un pas supplémentaire afin de prouver sa bonne foi, redorer son blason et tirer les enseignements de cette affaire. Comme le pointe Ars Technica, l'institut a publié une note annonçant le passage en revue de son processus d'élaboration des normes cryptographiques.

Selon cette note, ce travail se fera en deux temps. Le NIST se chargera d'abord de rassembler toutes les informations relatives à ce processus. À l'issue, le NIST donnera accès au public à ces éléments pour qu'il puisse contribuer à l'amélioration des conditions de validation des nouvelles normes cryptographiques. En outre, un organisme indépendant sera également sollicité pour un contrôle plus formel.

En fonction des conclusions, le NIST mettra à jour ce processus.

Partager sur les réseaux sociaux

Articles liés