Le journal The Guardian et d'autres médias ont publié la semaine dernière des documents issus de l'informateur Edward Snowden montrant que la NSA travaille à casser les technologies de chiffrement par différents moyens : backdoor, attaques par force brute, interceptions légales et partenariats avec des acteurs IT. A la lecture de ces documents, il semble que l'agence de renseignement et son homologue britannique GHCQ soit capable de venir à bout de nombreux algorithmes de chiffrement utilisés pour sécuriser les communications en ligne, les services bancaires et les secrets industriels.
Steve Weis, directeur technique chez PrivateCore et titulaire d'un doctorat en cryptographie du MIT a expliqué que malgré les activités de la NSA, les mathématiques utilisées pour le chiffrement sont très difficiles à casser. Il suggère que l'agence a réussi à briser des technologies dépassées ou peu fiables. Ainsi, dans les documents publiés, il y en a un qui suggère que la NSA aurait implanté un backdoor dans une norme de chiffrement approuvée par le NIST et nommée Dual EC DRBG. Cette dernière a pour vocation de générer des nombres aléatoires. « Elle date de 6 ans et a rarement été utilisée depuis que deux ingénieurs de Microsoft ont découvert le backdoor de la NSA », explique Steve Weis. Il s'interroge sur le fait que les experts de la NSA disposent de la capacité de fracturer des technologies de cryptage plus robustes. « Jusqu'à présent, je n'ai pas constaté que l'algorithme AES (Advanced Encryption Standard) a été cassé », confie le spécialiste.
Une mise en oeuvre correcte et une saine gestion des clés
De son côté Dave Anderson, directeur de Voltage Security, société spécialisée dans le chiffrement, indique « s'il est appliqué correctement, le cryptage assure une sécurité inviolable » et d'ajouter qu'« il s'agit normalement d'une sécurité qui prendrait des millions d'années à des supercalculateurs à casser ». Il émet cependant des limites, « si la mise en oeuvre a été négligée et que le processus de gestion des clés n'est pas bon, alors le niveau de sécurité peut être mis en défaut en quelques heures par un pirate avec un PC moyen de gamme ». Le dirigeant a souligné que la NSA a pu être en mesure de profiter de failles dans le processus de gestion des clés sur lesquels s'appuie le chiffrement, plutôt que de casser la technologie de cryptographie elle-même. Il est possible que l'agence américaine ait déchiffré des comptes commerciaux et financiers, mais seulement si la cryptographie a été mal mise en oeuvre via un processus de gestion de clef défaillant, incomplet ou invalide.
Dave Jevans, fondateur et directeur technique de Marble Security (spécialiste de la sécurité mobile) constate que certaines préoccupations soulevées par les documents de la NSA reposent sur une mauvaise compréhension des faits. Il déclare que « la plupart des emails, des recherches sur le web, les chats sur Internet et les appels téléphoniques ne sont pas automatiquement chiffrés, donc la NSA ou quelqu'un d'autre peut simplement analyser le trafic online pour y accéder ». Il constate comme ses confrères que « la principale vulnérabilité d'un trafic crypté est la gestion des clés ». Il ajoute « voler une clef, c'est comme voler un mot de passe ». La NSA dispose d'énormes ressources financières et humaines pour se focaliser sur les clés et les systèmes de gestion de ces clés, plutôt que des casser les mathématiques derrière les techniques de chiffrement. « C'est un milliard de fois plus efficace », concède Dave Jevans.
Au final, Steve Weis soutient que malgré les révélations, le chiffrement reste la meilleure façon de protéger les données en ligne. Il donne aussi des conseils aux entreprises touchées comme d'envisager des technologies Open Source comme Open SSL, dont le code est toujours visible par les développeurs, plutôt que des logiciels commerciaux plus vulnérables au backdoor de la NSA.
Malgré les efforts de la NSA, le chiffrement reste sûr pour protéger les données
2
Réactions
Si la NSA dépense des milliards de dollars pour casser les technologies de cryptage, des experts en sécurité estiment que, correctement mis en oeuvre, le chiffrement est encore le meilleur moyen pour garantir la confidentialité sur le web.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Pour ma part, je m'interroge.
Signaler un abusÇa sent surtout la guerre psychologique. Que la NSA dispose de moyens conséquents, je suis bien disposé à l'admettre. Qu'elle passe du temps sur du développement pour casser des codes, soit. Mais de là à obtenir un résultat systématiquement, il y a un pas que je me garderai bien de franchir.
Il convient peut-être de s'interroger en premier lieu sur le point faible de ce que je pourrais nommer la « chaine de protection » : cette chaîne cassera là où se trouve son maillon le plus faible. Je doute fort que ce soit au niveau des algorithmes de chiffrement que leur travail sera le plus rentable. Donc il faut se tourner vers une autre direction : la qualité des mots de passes utilisés par les gens qui ont la main sur les mécanismes de chiffrement, et de ce fait les protègent.
Or ces dernières années, on a vu des grosses entreprises se faire pirater des données en grand nombre : il serait intéressant de savoir quel élément a le plus souvent permis aux pirates de réaliser leurs exploits. Combien de DSI ont des systèmes protégés avec des mots de passe qui sont tout simplement le prénom de leur femmes/maris, le nom de leur chien ou autre nom commun disponible dans n'importe quel dictionnaire ?
Enfin bon, je dis ça hein... ?
My 2¢
Cet article résonne comme un démenti aux précédents articles alarmistes de votre rédaction.
Signaler un abusOn se demande parfois quel est le niveau de formation en informatique des journalistes (ignorance de PGP/GPG) et s'il ont conscience qu'un espionnage efficace consiste d'abord à exploiter les bonnes vieilles méthodes de corruption/pression à l'encontre d'informaticiens en poste au sein de l'entreprise ciblée.