Le Nist veut jouer la transparence
Alors que la qualité de ses standards de cryptographie a été mise en cause dans le cadre du scandale Prism, le Nist, organisme chargé de valider ces standards, tente une nouvelle fois de redorer son blason.
Le Nist, organisme américain chargé de l’élaboration et de la validation des standards technologiques, avait déjà contre-attaqué une première fois, à la suite des révélations sur les capacités de déchiffrement de la NSA, début septembre. Alors qu’il avait mis en cause l’intégrité de son standard de génération de nombres aléatoires, l’institut avait affirmé, dans un communiqué de presse, vouloir « assurer la communauté de la cybersécurité que le processus transparent et public utilisé pour examiner nos standards était toujours en place ». Et d’insister, assurant qu’il « n’affaiblirait pas volontairement un standard de cryptographie ». Jusqu’à décider de rouvrir les débats publics sur trois de ses publications de référence relatives aux générateurs de nombres aléatoires, il indique que « si des vulnérabilités sont trouvées dans ces ou d’autres standards du Nist, nous travaillerons avec la communauté de la cryptographie pour les traiter aussi vite que possible ».
Quitte à implicitement renier ses affirmations précédentes sur la transparence de ses processus d’examen de ses standards, le Nist vient de franchir un pas supplémentaire. Relevant que la « confiance est cruciale pour l’adoption d’algorithmes de chiffrement forts » et voulant garantir des processus au plus haut niveau de « transparence et de sécurité », l’organisme indique avoir « initié un examen formel » de ses « efforts de développement de standards ». Une fois cet examen achevé, le Nist appellera à des commentaires publics sur ses processus et demandera à un tiers indépendant de se pencher dessus pour formuler des suggestions d’amélioration.