La NSA cherche à promouvoir deux nouvelles méthodes de chiffrement auprès de l’Organisation internationale de normalisation. Mais le passif trouble de l’agence américaine suscite d’importantes craintes chez nombre d’experts en cryptographie.

Peut-on encore faire confiance à la NSA pour la sécurisation des données maintenant que l’on sait ce qu’elle est capable d’accomplir grâce aux divulgations permises par Edward Snowden ? Sans doute pas, surtout lorsqu’il est question de chiffrement : dès que l’agence nationale de la sécurité se mêle de cryptographie, il y a un risque pour qu’elle poursuive un agenda caché.

Et cette crainte n’est pas partagée que par quelques paranoïaques biberonnés aux mauvais films d’espionnage : dans des pays qui font partie des plus proches alliés des États-Unis — sont cités l’Allemagne, Israël et le Japon –, des experts en cryptographie voient d’un mauvais œil l’implication de la NSA dans tout ce qui a trait au chiffrement, surtout si l’Organisation internationale de normalisation est dans la boucle.

Le Cyber Command, la NSA et le CSS. // Source : Fort George G. Meade

Le Cyber Command, la NSA et le CSS.

Source : Fort George G. Meade

Reuters raconte que ces spécialistes se sont alarmés des efforts de la NSA auprès de l’organisme pour pousser deux méthodes de chiffrement par bloc, Simon et Speck, considérant que l’agence américaine sait comment les casser. Tous ne partagent pas ce point de vue : un membre de la délégation britannique a fait remarquer que personne n’a démontré leur fragilité.

Un avis fiable ? D’aucuns ne manqueront pas de noter que les liens sont très étroits entre les États-Unis et le Royaume-Uni, notamment dans le domaine militaire et du renseignement. Les services britanniques, à commencer par le GCHQ, l’équivalent de la NSA, sont ceux qui ont le plus large accès aux informations classifiées de leurs homologues américains, avec les Canadiens, les Australiens et les Néo-Zélandais.

Il y a pas mal de gens dans la NSA qui pensent que leur travail consiste à renverser les normes

Une position qu’on ne retrouve pas au sein de la délégation israélienne, dont le pays est pourtant très proche des États-Unis. « Je ne fais pas confiance aux concepteurs. Il y a pas mal de gens dans la NSA qui pensent que leur travail consiste à renverser les normes. Mon travail est de les sécuriser », a déclaré Orr Dunkelman, professeur d’informatique à l’Université de Haïfa.

De son côté, la NSA a affirmé « croire fermement qu’ils sont sûrs » et, pour apaiser les craintes de certaines délégations, a accepté d’abandonner toutes les versions — sauf les plus puissantes, qui sont en théorie celles qui sont les moins susceptibles d’être mises en défaut — des deux méthodes afin de montrer sa bonne volonté. Mais pas question pour autant de tout jeter à la poubelle.

Or, quel intérêt y aurait-il à adopter Simon et Speck, aussi performants et efficaces soient-ils, si leur conception même comporte une faiblesse volontairement placée par un tiers en vue de l’exploiter ultérieurement ? Même si la NSA assure que la porte blindée protégeant votre domicile est d’une solidité à toute épreuve, quelle peut être son utilité si la fenêtre au rez-de-chaussée est grande ouverte ?

NSA

Crédits : NSA

La NSA déjà mise en cause

Surtout que des publications dans la presse montrent que la NSA n’est pas crédible quand elle se cherche se présenter comme une autorité responsable et de confiance en matière de cryptographie : faut-il rappeler la controverse qui avait éclaté quand ses efforts pour affaiblir un algorithme de cryptographie ont été découverts ? L’affaire avait éclaboussé l’institut fournissant des recommandations cryptographiques.

Dans le même genre, la NSA a été accusée d’avoir cherché à corrompre RSA avec un versement de 10 millions de dollars en échange d’un affaiblissement de l’une de ses solutions de sécurité. Dans cette affaire, la société de cryptographie, qui a démenti ces allégations, aurait accepté d’utiliser par défaut un algorithme de chiffrement que la NSA sait déchiffrer.

Plus généralement, les documents révélés par Edward Snowden montrent que la NSA dépense chaque année 250 millions de dollars pour travailler avec les entreprises de la high tech et « influencer secrètement » la conception de leurs logiciels, via l’installation de portes dérobées par exemple. Dès lors, il n’est pas exagéré de croire que Simon et Speck entrent dans ce plan.


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !