L'un des anciens cadres de la NSA, alors responsable de la recherche, a fait part de ses regrets sur la façon dont l'agence s'est comportée avec l'algorithme Dual EC_DRBG, qu'elle savait vulnérable. À ses yeux, la NSA aurait dû le laisser tomber. Au lieu de quoi, elle l'a soutenu.

C'est un aveu inattendu, mais qui relance le débat autour des missions confiées à la NSA. Dans un article à paraître le mois prochain dans une revue universitaire dédiée aux mathématiques, l'ancien directeur de la recherche de la NSA explique qu'il regrette la décision de l'agence de sécurité nationale de continuer à soutenir l'algorithme Dual EC_DRBG alors qu'elle savait qu'il était vulnérable

Dans l'article repéré par Slashdot, Michael Wertheimer indique que le choix de la NSA s'est avéré "regrettable" alors que des chercheurs en sécurité informatique avaient justement détecté des vulnérabilités dans cette méthode destinée à générer des nombres pseudo-aléatoires (Dual Elliptic Curve Deterministic Random Bit Generator), et s'étaient également interrogés sur leur provenance.

"Avec le recul, la NSA aurait dû cesser de soutenir l'algorithme Dual EC_DRBG immédiatement après la découverte par les chercheurs d'une potentielle trappe" qui permet de fausser le caractère aléatoire des nombres générés, explique Michael Wertheimer, ce qui facilite ensuite le déchiffrement des communications lorsque celles-ci utilisent cette méthode pour se protéger.

Le problème posé par cet algorithme remonte au milieu des années 2000 lorsque les premiers soupçons sont apparus dans la communauté des cryptographes. La lenteur d'exécution de Dual EC_DRBG par rapport à d'autres méthodes du même ordre a finalement permis de déceler une porte dérobée, qui sert au concepteur de l’algorithme, en l'occurrence la NSA, à deviner les nombres générés aléatoirement.

À la suite de l'affaire Snowden, des articles dans la presse américaine ont décrit plus précisément la stratégie de la NSA pour obtenir la validation d'un algorithme de cryptographie altéré, en forçant la main de l'institut national des normes et de la technologie, mais aussi pour l'imposer  par défaut dans le logiciel de sécurité BSafe fourni par la société RSA.

Partager sur les réseaux sociaux

Articles liés