Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

La NSA payait un éditeur de solutions de cybersécurité américain pour récupérer les données

Le vendeur américain de solutions de chiffrement RSA Security a nié les accusations d'entente avec la NSA, l'agence américaine de renseignements empêtrée dans l'affaire Prism. Selon Reuters l'entreprise aurait touché 10 millions de dollars pour distribuer à ses clients un logiciel comprenant un algorithme de chiffrement délibérément truqué par la NSA.
Twitter Facebook Linkedin Flipboard Email
×

La NSA payait un éditeur de solutions de cybersécurité américain pour récupérer les données
La NSA payait un éditeur de solutions de cybersécurité américain pour récupérer les données © DR

RSA Security, vendeur de solutions de chiffrement, filiale du géant américain EMC, spécialiste du stockage et des logiciels d'entreprise, se retrouve au coeur d'un scandale sur la cybersécurité. Reuters a récemment révélé que la RSA avait signé un contrat secret de 10 millions de dollars avec la NSA pour distribuer un algorithme de chiffrement délibérément erroné, produit par l'agence américaine de renseignements, qui permet de créer des "portes dérobées" dans des solutions de sécurité. La RSA, d'abord silencieuse, a ensuite catégoriquement nié les accusations : "nous n'avons jamais conclu de contrat ou participé à un projet avec l'intention d'affaiblir les produits de RSA, ou introduisant des 'portes dérobées' potentiels dans nos produits".

Auto cheval de Troie

Dès le mois de septembre 2013, suite aux révélations d'Edward Snowden, le New York Times avait révélé que la NSA avait introduit des faiblesses dans un algorithme de chiffrement qui créait des "portes dérobées" lui donnant accès aux informations. Un rapport de la National Institute of Standards and Technology (NIST) avait par ailleurs recommandé d'abandonner cet algorithme de chiffrement. La RSA avait alors enjoint ses clients à ne plus utiliser la solution erronée. Pourtant, aujourd'hui, elle est accusée d'avoir touché 10 millions de dollars pour distribuer largement cette solution truquée.

En cause, l'algorithme de chiffrement appelé "Dual EC DRGB" (pour Dual Elliptic Curve Deterministic Random Bit Generator), un générateur cryptographique binaire aléatoire. Les faiblesses introduites par les cryptographes de la NSA dans cet algorithme en faisait un cheval de Troie pour les espions du gouvernement. La RSA aurait intégré la technologie Dual EC DRBG dans sa boîte à outils "BSafe".

Des millions de citoyens concernés

Le scandale est de taille notamment car BSafe et les autres solutions de chiffrement de la RSA sont utilisées par une majorité de grandes entreprises informatiques, qui passent également par elles pour protéger les ordinateurs de millions de citoyens.

Ce scandale pourrait ruiner l'entreprise, dont l'activité repose sur la confiance des clients. De plus, il y a fort à parier que la NSA a conclu des contrats similaires - s'ils s'avèrent véridiques - avec d'autres entreprises du secteur. Peut-être une aubaine pour des éditeurs de logiciels de sécurité européens, qui pourraient surfer sur cette vague de défiance envers les fournisseurs américains.

Nora Poggi

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale