Les tats-Unis travaillent l’laboration de nouvelles normes de chiffrement destines rsister aux pouvoirs de l’informatique quantique, une technologie mergente qui impliquerait des machines capables d’effectuer des calculs mathmatiques haut dbit, capables de craquer les algorithmes de chiffrement actuels sans transpirer. Et alors qu’elle est implique dans le processus d’laboration des nouvelles normes de scurit, la National Security Agency (NSA) a « assur » la semaine dernire qu’elle n’a aucun moyen de contourner le nouveau systme de chiffrement amricain. Par le pass, l’agence avait t implique dans plusieurs actions contre le chiffrement.
Aprs avoir t la cible de cyberattaques hautement dvastatrices au cours de ces deux dernires annes, les tats-Unis ont dcid de renforcer la cyberscurit du pays travers l’laboration de nouvelles normes de scurit. Cette initiative comprend le dveloppement d’une nouvelle gnration de normes de chiffrement de haute scurit qui seront robustes dans le climat technique actuel et sont conues pour rsister au contournement l’re de l’informatique quantique. La NSA est implique dans certaines parties du processus d’laboration de ces normes et les critiques craignent qu’elle use de stratagmes pour introduire des portes drobes.
Cependant, l’agence assure n’avoir aucun moyen particulier de miner les nouvelles protections. La semaine dernire, Rob Joyce, directeur de la cyberscurit de la NSA, a dclar : il n’y a pas de portes drobes . Pour rappel, une porte drobe permet quelqu’un d’exploiter une faille dlibre et cache pour casser le chiffrement. Les algorithmes candidats sur lesquels le NIST organise des concours semblent tous solides et srs, et correspondent ce dont nous avons besoin pour la rsistance quantique. Nous avons travaill contre tous ces algorithmes pour nous assurer qu’ils sont solides , a insist le directeur de la cyberscurit de la NSA.
Selon des experts, cela semble tre une bonne chose, bien qu’il semble galement important de mentionner que la NSA n’a pas un bilan prodigieux en matire de cyberscurit. L’agence a dj t implique dans des stratagmes visant crer des portes drobes contre le chiffrement, notamment dans une situation au dbut des annes 2010 o un algorithme de chiffrement dvelopp par la NSA a t abandonn en tant que norme fdrale, car l’on craignait qu’il ne contienne une porte drobe. Voici une liste non exhaustive de faits se rapportant aux portes drobes auxquels le nom de l’agence est li depuis la dernire dcennie :
- en 2013, il a t rapport que la NSA avait vers 10 millions de dollars la socit de scurit RSA. En change de cela, RSA aurait implant un algorithme de chiffrement compromis dans le logiciel de ses produits, appel « Dual_EC_DRBG ». On pense gnralement que cet algorithme a servi de porte drobe la NSA ;
- en 2014, il a t rapport que la NSA avait intercept du matriel fabriqu aux tats-Unis et envoy l’tranger. Les agents de la NSA auraient implant des portes drobes dans les produits, les auraient reconditionns, puis les auraient envoys ;
- en 2015, le fabricant de produits rseau Juniper Networks a annonc qu’une porte drobe prsume avait t dcouverte l’intrieur du systme d’exploitation qui fait fonctionner ses pare-feu. La NSA est depuis longtemps souponne d’avoir t implique ou d’avoir t responsable par inadvertance des faiblesses de scurit qui ont permis aux pirates de s’introduire dans les appareils ;
- en 2020, le Congrs a tent d’obtenir une rponse claire de la NSA pour savoir si elle continuait installer des portes drobes dans le matriel et les logiciels fabriqus aux tats-Unis. Anne Neuberger, alors membre du personnel de la NSA, a dclar : nous ne partageons pas les processus et procdures spcifiques ;
- en fvrier, il a t signal qu’une porte drobe affectant la plupart des distributions Linux avait t dcouverte. Cette porte drobe, baptise « Bvp47 », aurait t « lie » l’Equation Group, un groupe de pirates bien connu au sein de la NSA.
En raison de ces prcdents, beaucoup se demandent s’il serait prudent d’adopter des normes de « scurit » dans lesquelles la NSA est implique. Mais encore, Joyce a dclar que la NSA dispose dj de ses propres algorithmes classifis rsistants aux quanta, qu’elle a dvelopps pendant plusieurs annes. Par ailleurs, alors que les tats-Unis tentent de renforcer le chiffrement, d’autres pays comme l’Australie cherchent l’affaiblir. En 2018, l’Australie a adopt un projet de loi anti-chiffrement, « Assistance and Access Bill », sans amendements, malgr les protestations de l’industrie technologique.
En vertu de cette loi, les agences gouvernementales australiennes pourraient mettre trois types d’avis : (1) les avis d’assistance technique qui sont des avis contraignants, obligeant un fournisseur de communications utiliser une capacit d’interception dont ils disposent dj ; (2) les avis de capacit technique qui sont des avis contraignants qui obligent un fournisseur de communications crer une nouvelle capacit d’interception, afin qu’il puisse respecter les avis d’assistance technique ultrieurs ; et enfin (3) les demandes d’assistance technique dcrites par les experts comme les plus dangereuses de toutes.
En France, le prsident Emmanuel Macron milite galement pour une leve de l’anonymat sur Internet. Lors des lections prsidentielles prcdentes, il a dclar qu’il ne devrait pas y avoir d’anonymat en ligne. Il compare l’anonymat qu’offrent les plateformes numriques une « cagoule » permettant n’importe qui d’agir de manire abjecte, la plupart du temps impunment, sur Internet. Dans une socit dmocratique, il ne devrait pas y avoir d’anonymat. On ne peut pas se promener encagoul dans la rue. Sur Internet, les gens s’autorisent, car ils sont encagouls derrire un pseudo, dire les pires abjections , a-t-il dclar Le Point.
Pour cette raison, il entend continuer plaider pour la suppression de l’anonymat en ligne. En fvrier 2019, Emmanuel Macron dclarait dj que pour amliorer la qualit de la dmocratie participative, l’on devrait aller vers une leve progressive de toute forme d’anonymat en faisant mention de processus o l’on sait distinguer le vrai du faux et o l’on doit savoir do les gens parlent et pourquoi ils disent les choses . Macron pense que cela est ncessaire tant donn qu’aujourd’hui, on a beaucoup dinformations, tout le temps, mais on ne sait pas do elles viennent . Cependant, cette proposition avait t fortement critique.
Plus rcemment, l’UE a galement dclar la guerre au chiffrement au nom de la protection des enfants. Une proposition de la Commission europenne pourrait obliger les entreprises technologiques analyser les messages privs la recherche de matriel d’abus sexuel d’enfants (CSAM) et de preuves de pdopigeage, mme lorsque ces messages sont censs tre protgs par un chiffrement de bout en bout.
La sollicitation denfants des fins sexuelles, ou pdopigeage, est une pratique o un adulte se « lie damiti » avec un enfant (de manire gnrale en ligne, mais le pdopigeage hors ligne existe galement) dans le but de commettre des abus sexuels son encontre . L’adulte cherche se rapprocher d’un enfant et instaurer avec lui une relation affective, voire parfois aussi avec sa famille, pour lever les inhibitions de la victime dans l’intention de perptrer des abus sexuels.
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de l’implication de la NSA dans les nouvelles normes amricaines pour le chiffrement ?
Pensez-vous que l’on devrait faire confiance la NSA lorsqu’elle affirme qu’elle n’a pas insr de portes drobes dans les nouvelles normes ?
Voir aussi
PRISM : la NSA serait capable de dchiffrer des communications VPN scurises et le protocole SSL
La NSA ambitionne de crer des ordinateurs quantiques, capables de briser toute sorte de chiffrement