La National Security Agency, la NSA, aurait payé RSA Security 10 millions de dollars pour affaiblir la sécurité d’un algorithme de chiffrement. Voilà une information passée quelque peu sous silence, à la veille de Noël. Reuters explique (Le New York Times l’avait déjà fait en septembre dernier) que la NSA a fait créer un algorithme plus faible, histoire de le casser sans trop de fatigue. Bref, de quoi permettre aux grandes oreilles de l’Oncle Sam d’écouter, sans se casser la tête. Reuters indique que la société RSA Security, du groupe EMC, était le principal distributeur de ce chiffrement via son kit BSAFE. L’agence de presse affirme que la NSA a versé 10 millions de dollars à RSA pour alléger l’algorithme Dual Elliptic Curve. Pour rappel, le DEC est devenu le paramètre par défaut des boîtes à outils de RSA. Autant dire que les entreprises qui utilisent ce chiffrement, qu’ils ont payé le prix fort, auront apprécié l’humour.
Pour sa défense, RSA explique avoir toujours communiqué sur ses relations avec la NSA. Depuis septembre, RSA invite ses clients à ne plus utiliser l’algorithme DEC. RSA Security explique dans son communiqué de presse n’avoir jamais incorporé de backdoor dans ses produits « nous affirmons aussi catégoriquement n’avoir jamais signé de contrat, ni avoir collaboré à un projet dans l’intention d’affaiblir les produits de RSA« .
Ce même 23 décembre, RSA annonçait une faille dans son générateur de nombre aléatoire. Trois chercheurs (Daniel Genkin, Adi Shamir et Eran Tromer) ont trouvé une méthode de cryptanalyse acoustique. Ils ont ainsi pu casser une clé RSA 4.096 bits en se servant simplement d’un microphone pour écouter le son diffusé par un ordinateur lorsqu’il décrypte un message chiffré.
Il va être intéressant de voir qui va se rendre, comme conférencier, lors des prochaines « RSA Conference 2014« . Le patron de F-Secure et celui d’Atredis Partners ont annulé leur présence en février prochain, à San Francisco.
A noter que le journal Ars Technica a indiqué, il y a peu, que l’opérateur américain AT&T a revendu à la CIA des enregistrements téléphoniques.