Selon l’agence Reuters, la NSA aurait versé 10 millions de dollars au spécialiste de la sécurité RSA pour incorporer un algorithme plus faible dans ses outils de cryptage BSAFE.
Selon l’agence Reuters, la NSA aurait versé 10 millions de dollars au spécialiste de la sécurité RSA pour incorporer un algorithme plus faible dans ses outils de cryptage BSAFE.
En septembre déjà, le New York Times annonçait que la NSA avait créé un algorithme plus faible pour générer des chiffres aléatoires, après quoi Reuters a indiqué que le spécialiste de la sécurité RSA, qui fait à présent partie d’EMC, en était le principal distributeur grâce aux boîtes à outils BSAFE. Reuters affirme à présent que RSA a reçu à cette fin de la NSA une somme de 10 millions de dollars. Selon l’agence de presse, ce serait suite à cet accord que la version NSA affaiblie de l’algorithme Dual Elliptic Curve serait devenue le paramètre par défaut des boîtes à outils de RSA. Vu la popularité de ces boîtes – elles sont utilisées par de nombreuses entreprises comme base de leurs produits de sécurité -, l’affaiblissement s’est ainsi propagé à très grande échelle.
Dans une réaction, RSA prétend avoir toujours communiqué ouvertement à propos de ses relations avec la NSA et avoir fait confiance dans le “rôle fiable joué par la NSA dans leurs efforts communs en vue de renforcer le cryptage et non pas de l’affaiblir”. En outre, l’algorithme Elliptic Curve n’est “qu’une des options dans les boîtes à outils BSAFE”, et RSA s’en est remise au jugement de l’organisation américaine des standards NIST lors de doutes précédents à propos de l’algorithme (en 2007). Et RSA “a suivi le conseil de NIST en septembre [de cette année] de ne plus utiliser l’algorithme et l’a fait savoir à nos clients avec, à la clé, un débat ouvert à propos du changement dans les médias”.
RSA conclut en faisant remarquer “qu’en tant qu’entreprise de sécurité, elle n’a jamais dévoilé de détails à propos d’engagements vis-à-vis des clients, mais nous affirmons aussi catégoriquement n’avoir jamais signé de contrat ni avoir collaboré à un projet dans l’intention d’affaiblir les produits de RSA ni non plus avoir incorporé d’éventuelles ‘backdoors’ [portes dérobées] à nos produits pour quelque usage que ce soit”. En son temps, RSA a en effet activement combattu l’incorporation possible de la puce Clipper dans des appareils, ce qui aurait permis de mettre sur écoute des communications sécurisées passant par ces derniers – une initiative de l’ex-président Clinton. Mais ensuite, un grand nombre d’experts auraient quitté l’entreprise, et une politique davantage favorable à la NSA y aurait été appliquée, selon Reuters.
