Des chercheurs américains ont découvert qu'un deuxième outil de chiffrement avec backdoor avait été poussé par la NSA à travers la société RSA. L'un des deux auteurs de l'outil est un consultant de Mozilla très impliqué dans le protocole WebRTC.

En fin d'année dernière, l'agence Reuters avait révélé que la société de sécurité RSA (désormais possédée par EMC) avait accepté 10 millions de dollars de la part de la NSA, pour imposer par défaut dans son logiciel de sécurité BSafe un algorithme que l'agence de sécurité américaine savait casser. Il s'agissait du Dual Elliptic Curve Deterministic Random Bit Generator (Dual EC DRBG), une méthode de génération de nombres aléatoires pour laquelle les premiers soupçons émis par la communauté des cryptographes sont apparus dès le milieu des années 2000. 

Ce lundi, la même agence Reuters révèle qu'un groupe de chercheurs américains (de Johns Hopkins, l'Université du Wisconsin, l'Université d'Illinois…) publiera cette semaine le résumé d'une présentation qu'ils feront l'été prochain, dans laquelle ils affirment que la NSA a également poussé RSA à intégrer un autre protocole, "Extended Random".

Alors qu'il était censé renforcer la sécurité de Dual EC DRBG, le protocole "Extended Random" aurait en réalité pour principal intérêt de rendre beaucoup plus rapide le cassage des clés générées à partir de Dual EC DRBG. Les chercheurs estiment ainsi que l'outil qui fut intégré dans la suite BSafe pour Java permet de casser le chiffrement des données à un rythme 65 000 fois plus rapide que sans Extended Random !

Le protocole Extended Random avait été proposé à l'IETF dans un document d'avril 2008 co-rédigé par Margaret Salter, directrice technique à la NSA, et par un expert extérieur, Eric Rescorla.

Eric Rescorla est toujours consultant indépendant avec sa société RTFM, mais il compte comme gros client la fondation Mozilla, qu'il conseille notamment pour l'implantation sécurisée de WebRTC, le protocole de communications en temps réel intégré aux navigateurs web HTML5. Sur son blog, Rescorla indique qu'il a été "fortement impliqué dans les groupes de travail de l'IETF et du W3C" sur le WebRTC, et qu'il a "contribué à des morceaux significatifs de code à la fois dans les implémentations sur Chrome et Firefox".

Interrogés par Reuters, ni Eric Rescorla ni Mozilla n'ont souhaité réagir.

Partager sur les réseaux sociaux

Articles liés