Nouveaux soupçons d’influence de la NSA sur le chiffrement
Une nouvelle étude d’experts américains en cryptographie sème le doute sur la pertinence de l’implémentation d’une extension TLS par RSA.
C’est encore Reuters qui se charge de jeter un pavé dans la mare. Fin décembre, une dépêche de nos confrères indiquait que RSA avait conclu un accord avec la NSA, moyennant 10 M$, afin d’assurer que l’algorithme de génération de nombres aléatoire utilisé par défaut dans la librairie Bsafe serait le Dual EC DRBG élaboré par le NIST, celui soupçonné d’avoir été compromis par l’agence. Dans une nouvelle dépêche, Reuters se fait l’écho, avant sa publication, d’une étude menée par un groupe d’experts américains en cryptographie qui sème le doute sur la pertinence de l’implémentation d’une extension TLS par RSA. Pas d’allégations de collusion, cette fois-ci, mais des questions toujours plus lourdes sur l’ampleur des efforts de l’agence américaine du renseignement pour miner en secret les technologies de chiffrement.
Les neuf experts se sont penchés sur la manière dont quatre librairies TLS/SSL récentes utilisent l’algorithme Dual EC. Selon eux, « les implémentations de TLS dans RSA Bsafe rendent la porte dérobée de Dual EC particulièrement facile à exploiter, par rapport aux autres librairies utilisées. » Son implémentation Java « intègre des empreintes aux connexions rendant leur identification particulièrement facile dans un flux de trafic réseau. » Quant à la librairie SChannel de Microsoft, elle fait l’impasse sur une étape de l’algorithme, « une omission qui ne prévient pas les attaques; en fait elle les rend légèrement plus rapides. » C’est au final OpenSSL qui apparaît le plus sûr.
Mais les experts ont également découvert la mise en oeuvre, dans Bsafe d’une « extension TLS non standard appelée ‘Extended Random’ » à la rédaction de laquelle a contribué la NSA… : « si elle est activée, [cette fonction] accélère l’attaque Dual EC par un facteur pouvant atteindre 65 000. En outre, l’utilisation de cette extension autorise les attaques sur les instances Dual EC » configurées avec deux courbes elliptiques spécifiques, « ce qui n’est apparemment pas possible avec la version standard de TLS. » Rien que ça.
Interrogé par nos confrères, Sam Curry, directeur technique de RSA, « a refusé d’indiquer si le gouvernement américain a payé RSA pour intégrer Extended Random à Bsafe, » assure Reuters. Sam Curry a toutefois indiqué que « nous aurions pu être plus sceptiques sur les intentions de la NSA. » Comme un écho aux propos tenus par Art Coviello, président exécutif de RSA, en ouverture de la dernière édition de RSA Conference : « lorsque ou si la NSA brouille les lignes entre ses rôles et exploite sa position de confiance au sein de la communauté de la sécurité, il y a un problème », tout simplement parce que si « nous ne pouvons savoir avec certitude sur quoi travaille la NSA [dans un standard en cours d’élaboration] et avec quelle motivation, nous ne devrions pas travailler avec la NSA. »