RSA dément tout lien avec la NSA
La filiale d'EMC, sous le feu de critiques pour son utilisation de l'algorithme de génération de nombres aléatoire Dual EC DRBG dans ses produits, dément tout lien avec la NSA.
Alors que la rumeur enfle que la division BSAFE de RSA aurait accepté un contrat de 10 M$ de la NSA pour incorporer dans ses logiciels un générateur de nombres aléatoires défectueux, RSA a fini par réagir hier sur son blog et via Tweeter en démentant formellement tout lien d’intérêt avec l’agence de renseignement américaine et plus spécifiquement en indiquant que l’usage de l’algorithme Dual EC DRBG (Dual Elliptic Curve Deterministic Random Bit Generator) dans BSAFE n’avait absolument rien à voir avec un accord avec la NSA.
RSA rappelle que l’incorporation de Dual EC DRBG dans BSAFE a eu lieu en 2004 dans un contexte de renforcement des méthodes de chiffrement. L’éditeur indique qu’à l’époque, la NSA était considérée comme ayant un rôle de confiance dans le renforcement des technologies de chiffrement (ce qui était a priori optimiste, vu la mission de la dite agence, et a posteriori vraiment naïf). RSA rappelle aussi que l’usage de Dual EC DRBG était laissé à la libre appréciation des utilisateurs qui pouvait choisir parmi la boîte à outils BSAFE l’algorithme de leur choix.
RSA indique avoir continué à utiliser Dual EC DRBG du fait de sa popularité et aussi de sa conformité au standard FIPS (les standards du gouvernement fédéral US). La confiance en Dual EC DRBG a été maintenue même après que des doutes ont émergé en 2007, le NIST (l’organisme de normalisation US) ayant maintenu sa confiance dans l’algorithme. Ce n’est qu’en 2013, lorsque le NIST a émis de nouvelles recommandations que RSA a officiellement retiré sa confiance à Dual EC DRBG et l’a fait connaître à ses clients.
RSA rappelle qu’il ne divulgue jamais ses contrats avec des clients, mais affirme n’avoir jamais signé un accord ou un contrat avec l’intention d’affaiblir la sécurité de ses produits ou de créer une porte dérobée dans ces mêmes produits.
La NSA, agence de renseignement US n’a bien sûr pas les mêmes intérêts que RSA et le soutien des autorités US à l’algorithme Dual EC DRBG pourrait avoir été quelque peu « intéressé ». La vraie question est désormais quelle confiance accorder à des algorithmes ayant le soutien des autorités US, qu’ils soient ou non intégrés à des produits de RSA…