À la suite du scandale de l'algorithme de cryptographie développé par la NSA, qui contient en fait une porte dérobée, l'institut responsable de l'élaboration des standards cherche à réformer ses pratiques. Parmi les mesures qui sont au programme figure une clarification du rôle de la NSA dans l'élaboration des algorithmes de cryptographie.

En septembre 2013, une enquête du New York Times a mis en lumière une tactique employée par la NSA pour lire les communications sur Internet, même lorsque celles-ci sont chiffrées. Sur la base des documents confidentiels révélés par Edward Snowden, le journal américain a montré que l'agence de sécurité nationale n'a pas hésité à affaiblir un algorithme de cryptographie pour le rendre vulnérable.

L'algorithme en question s'intitule le Dual EC_DRBG et sa mission consiste à générer des nombres pseudo-aléatoires. Il a été standardisé dans le cadre d'un processus de validation conduit par l'institut national des normes et de la technologie (NIST). Toutefois, des spécialistes ont fini par s'interroger sur la présence d'une éventuelle porte dérobée permettant au concepteur de l'algorithme de prédire les nombres générés.

LES ERREURS DU NIST

Naturellement, une polémique a surgi. Le NIST est censé fournir des recommandations de très grande qualité. Or, la lenteur d'exécution de l'algorithme, causée par la porte dérobée, n'a pas été jugée suffisante pour remettre en cause la standardisation. Il faut dire que celui qui a eu la charge de mettre au point l'algorithme, c'est-à-dire la NSA, a vivement insisté pour que le processus suive son cours.

Soucieux de redorer son blason, le NIST a avancé un certain nombre de pistes pour améliorer son processus de standardisation.

Des audits ont donc été engagés, concluant d'une part que le NIST a fait preuve d'une confiance excessive à l'égard de la NSA et jugeant d'autre part que l'institut n'a pas assez de personnel. Des embauches d'experts doivent donc avoir lieu pour contrebalancer le point de vue (et l'influence) de l'agence de sécurité nationale sur les standards cryptographiques.

CLARIFIER LES LIENS AVEC LA NSA

Mais ce n'est pas tout. Le NIST veut aussi modifier la manière dont il traite avec la NSA. C'est pourquoi l'institut lance un appel à commentaires pour élaborer un nouveau cadre dans lequel s'inscriront les relations entre les deux entités. Les internautes ont jusqu'au 27 mars pour contribuer.

"Ce nouveau brouillon se penche sur les interactions du NIST avec la NSA, en expliquant comment les agences travaillent ensemble et quelles sont les mesures qui sont maintenant en place pour s'assurer que les contributions de la NSA au processus d'élaboration des standards sont transparentes", écrit l'institut national des normes et de la technologie.

Par exemple, il est question de bien identifier toutes les contributions de la NSA. "Les nouveaux processus de validation vont permettre au NIST d'attribuer à la NSA tous les algorithmes, les standards ou les lignes directrice provenant du personnel de l'agence", explique l'institut, avant d'ajouter que cela s'applique aussi aux commentaires reçus.

Partager sur les réseaux sociaux

Articles liés