Lors du forum international de la cybersécurité, le directeur général estonien en charge de la sécurité des systèmes d'information a invité l'Europe à se passer des solutions de chiffrement américaines et à concevoir ses propres outils. Des propos qui font suite aux révélations sur RSA, accusée d'avoir été corrompue par la NSA.

En décembre, il a été rapporté que la société RSA aurait accepté un pot de vin de 10 millions de dollars pour employer par défaut l'algorithme de chiffrement Dual EC DRBG dans sa solution de sécurité BSAFE. Or, la NSA sait le déchiffrer ; l'agence est en effet parvenue à altérer son fonctionnement en rendant prévisible la génération des nombres aléatoires.

L'affaire a suscité un mini-scandale. En Europe, le directeur de la recherche chez F-Secure, une société finlandaise spécialisée dans l'édition de logiciels de sécurité, est sorti de sa réserve pour dénoncer l'attitude de RSA. Soucieux de marquer le coup, Mikko Hypponen a annulé dans la foulée sa participation à la conférence RSA 2014, qui doit avoir lieu aux États-Unis du 24 au 28 février.

À Lille, ces récentes découvertes ont également poussé le directeur général de l'autorité estonienne en charge des systèmes d'information à suggérer que l'Europe développe ses propres solutions de chiffrement afin de ne plus dépendre des standards américains. Les propos tenus par Jaan Priisalu au forum international de la cybersécurité ont été rapportés par IT Portal.

Selon Jaan Priisalu, l'une des pistes à explorer est la cryptographie sur les courbes elliptiques (ECC, ou Elliptic curve cryptography). Cette méthode offre l'avantage de minimiser la longueur des clés employées pour un chiffrement en comparaison de la cryptographie RSA sans compromettre le niveau de sûreté attendu. Or, la longueur des clés RSA est déjà "ridiculement longue", note l'expert estonien.

Toutefois, l'ECC est couvert par de multiples brevets qui entravent sa généralisation.

Le discours de Jaan Priisalu vis-à-vis des algorithmes de chiffrement n'est pas tout à fait surprenant. Il faut en effet se souvenir que l'Estonie a été la cible d'une série de cyberattaques en 2007 en provenance, selon les autorités locales, de la Russie, laquelle a nié toute implication. L'affaire a en tout cas révélé la grande dépendance du pays vis-à-vis de l'informatique et, par conséquent, sa relative fragilité.

D'où le désir de bénéficier d'outils solides et performants. Depuis cet épisode, l'Estonie se veut à la pointe de ces sujets. Après l'ouverture d'un centre d'excellence en 2008  pour réfléchir sur les problématiques de la cyber-défense, le pays a ouvert en 2013 un centre de réaction rapide destiné à intervenir en cas de cyberattaques. Les propos tenus à Lille vont aussi dans ce sens.

Partager sur les réseaux sociaux

Articles liés