Fiabilité du chiffrement : Art Coviello s’en prend à la NSA
Dans son allocution d’ouverture de la RSA Conference, le président exécutif de la division sécurité d’EMC, a dénoncé l’exploitation par la NSA de « sa position de confiance dans la communauté de la sécurité. »
Impossible d’ouvrir cette édition de RSA Conference en faisant l’impasse sur le scandale Prism et sur les allégations de collusion entre l’agence américaine du renseignement et l’éditeur RSA qui ont secoué la communauté de la sécurité en fin d’année, jusqu’à favoriser de manière décisive le lancement d’un contre-événement, la TrustyCon, qui se déroulera ce jeudi 27 février à deux pas de RSA Conference.
Art Coviello, président exécutif de RSA, s’est donc saisi du sujet dès les premières minutes de son allocution d’ouverture. Et de commencer par un rappel historique : dans les années 2000, après la fin de l’interdiction de l’exportation des outils de chiffrement, « l’industrie a commencé à discuter de l’utilisation d’un algorithme basé sur une courbe elliptique pour générer des nombres aléatoires », une méthode dont le NIST a fait un standard en 2006 « avec peu d’opposition. »
Cela rappelé, une question : « Est-ce que RSA a travaillé avec la NSA? Oui. Mais ce fait est connu du public depuis près d’une décennie. » Et de souligner que l’agence ne verse pas que dans l’offensif mais dispose aussi d’activités défensives : « dans la pratique, le NIST, RSA et, la plupart sinon tous les principaux acteurs de la sécurité et des technologies travaillent principalement pour cette division défensive de la NSA. Et nous recevons des renseignements de grande valeur de la part de la NSA sur les menaces et les vulnérabilités. »
Mais tout n’est pas rose et « lorsque ou si la NSA brouille les lignes entre ses rôles et exploite sa position de confiance au sein de la communauté de la sécurité, il y a un problème. » Tout simplement parce que si « nous ne pouvons pas savoir avec certitude sur quoi travaille la NSA [dans un standard en cours d’élaboration] et avec quelle motivation, nous ne devrions pas travailler avec la NSA. » Et de soutenir les initiatives du NIST et du président Barack Obama pour apporter un peu de clarté à l’ensemble.
Toutefois, Art Coviello élargit son propos, refusant de limiter sa critique à la NSA pour l’étendre à « toutes les agences du renseignement » du monde entier.