[Jacques Cheminat – Le Monde Informatique – 10/09/2013]

Si la NSA dépense des milliards de dollars pour casser les technologies de cryptage, des experts en sécurité estiment que, correctement mis en oeuvre, le chiffrement est encore le meilleur moyen pour garantir la confidentialité sur le web.

Le journal The Guardian et d’autres médias ont publié la semaine dernière des documents issus de l’informateur Edward Snowden montrant que la NSA travaille à casser les technologies de chiffrement par différents moyens : backdoor, attaques par force brute, interceptions légales et partenariats avec des acteurs IT. A la lecture de ces documents, il semble que l’agence de renseignement et son homologue britannique GHCQ soit capable de venir à bout de nombreux algorithmes de chiffrement utilisés pour sécuriser les communications en ligne, les services bancaires et les secrets industriels.

Steve Weis, directeur technique chez PrivateCore et titulaire d’un doctorat en cryptographie du MIT a expliqué que malgré les activités de la NSA, les mathématiques utilisées pour le chiffrement sont très difficiles à casser. Il suggère que l’agence a réussi à briser des technologies dépassées ou peu fiables. Ainsi, dans les documents publiés, il y en a un qui suggère que la NSA aurait implanté un backdoor dans une norme de chiffrement approuvée par le NIST et nommée Dual EC DRBG. Cette dernière a pour vocation de générer des nombres aléatoires. « Elle date de 6 ans et a rarement été utilisée depuis que deux ingénieurs de Microsoft ont découvert le backdoor de la NSA », explique Steve Weis. Il s’interroge sur le fait que les experts de la NSA disposent de la capacité de fracturer des technologies de cryptage plus robustes. « Jusqu’à présent, je n’ai pas constaté que l’algorithme AES (Advanced Encryption Standard) a été cassé », confie le spécialiste.

Une mise en oeuvre correcte et une saine gestion des clés

De son côté Dave Anderson, directeur de Voltage Security, société spécialisée dans le chiffrement, indique « s’il est appliqué correctement, le cryptage assure une sécurité inviolable » et d’ajouter qu’« il s’agit normalement d’une sécurité qui prendrait des millions d’années à des supercalculateurs à casser ». Il émet cependant des limites, « si la mise en oeuvre a été négligée et que le processus de gestion des clés n’est pas bon, alors le niveau de sécurité peut être mis en défaut en quelques heures par un pirate avec un PC moyen de gamme ». Le dirigeant a souligné que la NSA a pu être en mesure de profiter de failles dans le processus de gestion des clés sur lesquels s’appuie le chiffrement, plutôt que de casser la technologie de cryptographie elle-même. Il est possible que l’agence américaine ait déchiffré des comptes commerciaux et financiers, mais seulement si la cryptographie a été mal mise en oeuvre via un processus de gestion de clef défaillant, incomplet ou invalide.

Dave Jevans, fondateur et directeur technique de Marble Security (spécialiste de la sécurité mobile) constate que certaines préoccupations soulevées par les documents de la NSA reposent sur une mauvaise compréhension des faits. Il déclare que « la plupart des emails, des recherches sur le web, les chats sur Internet et les appels téléphoniques ne sont pas automatiquement chiffrés, donc la NSA ou quelqu’un d’autre peut simplement analyser le trafic online pour y accéder ». Il constate comme ses confrères que « la principale vulnérabilité d’un trafic crypté est la gestion des clés ». Il ajoute « voler une clef, c’est comme voler un mot de passe ». La NSA dispose d’énormes ressources financières et humaines pour se focaliser sur les clés et les systèmes de gestion de ces clés, plutôt que des casser les mathématiques derrière les techniques de chiffrement. « C’est un milliard de fois plus efficace », concède Dave Jevans.

Au final, Steve Weis soutient que malgré les révélations, le chiffrement reste la meilleure façon de protéger les données en ligne. Il donne aussi des conseils aux entreprises touchées comme d’envisager des technologies Open Source comme Open SSL, dont le code est toujours visible par les développeurs, plutôt que des logiciels commerciaux plus vulnérables au backdoor de la NSA.

Publicités