Selon l'agence Reuters, la société RSA aurait accepté un pot de vin de 10 millions de dollars pour utiliser par défaut l'algorithme de chiffrement Dual EC DRBG dans sa solution de sécurité BSAFE, que la NSA savait déchiffrer. La société dément.

Selon des révélations de l'agence Reuters, la NSA aurait conclu un arrangement secret avec la société de cryptographie RSA (propriété de EMC), pour s'assurer d'être en capacité de déchiffrer les communications masquées avec certains des algorithmes proposés par la firme. L'accord, dont la date n'est pas indiquée par Reuters, apparaîtrait dans des documents transmis par Edward Snowden.

L'agence, qui rappelle que RSA avait été le principal diffuseur d'un logiciel (Bsafe) exploitant par défaut une méthode de chiffrement pour laquelle la NSA disposait d'un backdoor, affirme désormais que l'entreprise aurait reçu de l'agence de sécurité américaine 10 millions de dollars pour privilégier l'algorithme cassable par la NSA, le Dual Elliptic Curve Deterministic Random Bit Generator (Dual EC DRBG). La somme, très faible au regard de la confidentialité de millions d'utilisateurs, représentait un tiers du chiffre d'affaires de la filiale concernée. Reuters dit avoir deux "sources proches du dossier" pour corroborer cette information, démentie vivement par RSA.

"RSA, en tant qu'entreprise de sécurité, ne divulgue jamais les détails de ses engagements auprès de ses clients, mais nous disons aussi catégoriquement que nous ne sommes jamais entré dans aucune relation contractuelle ni dans aucun projet avec l'intention d'affaiblir les produits de RSA, ou d'introduire de potentiels "backdoors" dans nos produits à l'intention de quiconque", réplique la société dans un communiqué.

RSA affirme que sa décision d'utiliser le Dual EC DRBG par défaut dans Bsafe a été prise en 2004 dans un climat de consensus auprès des experts de la sécurité, et qu'il n'a continué à l'utiliser après les premières polémiques en 2007 qu'en suivant l'avis du NIST, l'institut américain de normalisation.

Les accusations de Reuters confortent néanmoins celles de Théodore Ts'o, le créateur de la fonction de génération de nombres aléatoires /dev/random de Linux, après que le backdoor de Dual EC DRBG fut découvert en septembre dernier. Il s'était dit "content d'avoir résisté aux pressions des ingénieurs d'Intel" qui voulaient une clé générée exclusivement à partir du processeur. Sous-entendant, ainsi, qu'Intel avait lui-même cédé à l'influence de la NSA.

Partager sur les réseaux sociaux

Articles liés