Des chercheurs américains ont découvert qu'un deuxième outil de chiffrement avec backdoor avait été poussé par la NSA à travers la société RSA. L'un des deux auteurs de l'outil est un consultant de Mozilla très impliqué dans le protocole WebRTC.

En fin d'année dernière, l'agence Reuters avait révélé que la société de sécurité RSA (désormais possédée par EMC) avait accepté 10 millions de dollars de la part de la NSA, pour imposer par défaut dans son logiciel de sécurité BSafe un algorithme que l'agence de sécurité américaine savait casser. Il s'agissait du Dual Elliptic Curve Deterministic Random Bit Generator (Dual EC DRBG), une méthode de génération de nombres aléatoires pour laquelle les premiers soupçons émis par la communauté des cryptographes sont apparus dès le milieu des années 2000. 

Ce lundi, la même agence Reuters révèle qu'un groupe de chercheurs américains (de Johns Hopkins, l'Université du Wisconsin, l'Université d'Illinois…) publiera cette semaine le résumé d'une présentation qu'ils feront l'été prochain, dans laquelle ils affirment que la NSA a également poussé RSA à intégrer un autre protocole, "Extended Random".

Alors qu'il était censé renforcer la sécurité de Dual EC DRBG, le protocole "Extended Random" aurait en réalité pour principal intérêt de rendre beaucoup plus rapide le cassage des clés générées à partir de Dual EC DRBG. Les chercheurs estiment ainsi que l'outil qui fut intégré dans la suite BSafe pour Java permet de casser le chiffrement des données à un rythme 65 000 fois plus rapide que sans Extended Random !

Le protocole Extended Random avait été proposé à l'IETF dans un document d'avril 2008 co-rédigé par Margaret Salter, directrice technique à la NSA, et par un expert extérieur, Eric Rescorla.

Eric Rescorla est toujours consultant indépendant avec sa société RTFM, mais il compte comme gros client la fondation Mozilla, qu'il conseille notamment pour l'implantation sécurisée de WebRTC, le protocole de communications en temps réel intégré aux navigateurs web HTML5. Sur son blog, Rescorla indique qu'il a été "fortement impliqué dans les groupes de travail de l'IETF et du W3C" sur le WebRTC, et qu'il a "contribué à des morceaux significatifs de code à la fois dans les implémentations sur Chrome et Firefox".

Interrogés par Reuters, ni Eric Rescorla ni Mozilla n'ont souhaité réagir.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !