Il était une fois un nom bien connu dans le milieu de la sécurité, appelée RSA.
RSA, c’est en premier lieu un algorithme de chiffrement à clé publique, développé pour régler le problème classique de l’échange des clés, et qui a révolutionné la science du chiffrement.
RSA, c’est aussi une entreprise dont la réputation n’est pas à refaire, qui commercialise des implémentations de cet algorithme, et bien plus encore. Par exemple, cet elle derrière les SecurID, ces tokens d’authentification, petits « portes-clés » qui génèrent périodiquement des nombres aléatoires permettant de contrôler l’accès à certains systèmes plus critiques dans certaines entreprises, d’une façon bien plus sécuritaire qu’un simple mot de passe.
RSA, donc, jouissait d’un excellent pedigree comme peu d’autres entreprises dans ce marché plutôt spécialisé.
Vous remarquez que je parle à l’imparfait. C’est que voyez-vous, RSA a également été impliqué dans un paquet de petits scandales au cours des dernières années qui ont sérieusement terni sa réputation.
L’année dernière, dans la foulée de l’affaire Snowden, RSA s’est fait accuser d’être à la solde des autorités fédérales américaines. Ces dernières leur auraient versé plusieurs millions de dollars pour des raisons qui demeurent toujours imprécises jusqu’à maintenant, mais qui seraient en relation avec la volonté de la NSA d’introduire des « portes dérobées » (backdoors) dans certains produits de sécurité commerciaux, leur permettant de les outrepasser si nécessaire. La principale pièce à conviction: Dual_EC_DRBG, un algorithme de génération de nombres aléatoires, une pièce importante pour beaucoup de protocoles de chiffrement, et qui est soupçonnée depuis plusieurs années déjà d’avoir été spécialement conçu pour posséder une telle « porte dérobée », connue hypothétiquement par son concepteur.
Cette semaine, nouvelle tuile: un second protocole, « Extended Random », lui aussi publié par RSA dans certains de ses produits, exhibe des caractéristiques particulières et pourrait servir à accélérer l’exploitation de Dual_EC_DRBG. Un article de Reuters décrit bien l’historique de ce scandale.
Il va de soit que de telles révélations sont extrêmement dommageables pour une compagnie de la taille et de la réputation de RSA. Leur conférence annuelle, normalement très populaire, s’est vu boycottée plus tôt cet automne en guise de protestation.
De toutes les activités de la NSA révélées par l’affaire Snowden, l’ajout volontaire sur des produits commerciaux de vulnérabilités pouvant être exploitées comme « porte dérobée » est peut-être celle qui a fait le plus sourciller les professionnels en sécurité de l’information. De telles vulnérabilités pourraient être découvertes et exploitées par une tierce partie. « Saboter » ainsi des technologies essentielles dans la sécurisation de l’infrastructure de communication semble contre-productif, même pour une organisation ayant le point de vue et la mission des agences de renseignements.
Il y a une troisième anecdote qui mérite d’être contée à propos de RSA. Cette dernière avait fait les manchettes il y a quelques années lors qu’elle avait avoué que des plans techniques de certaines de ses technologies de contrôle d’accès avaient été volés, peut-être par un gouvernement étranger. Quelques mois plus tard, ce sont des gros joueurs de l’industrie américaine qui avaient sonné l’alarme, en disant s’être fait infiltrer précisément via l’exploitation des produits de RSA. La nature exacte des informations volées chez RSA n’avait jamais été bien expliquée, mais se pourrait-il qu’il y ait un lien entre ce vol et la présence de portes dérobées dans leurs produits? Malheureusement pour RSA, j’ai de la difficulté à leur donner le bénéfice du doute, et j’aurais tendance à recommander à mes clients d’éviter leurs produits, mêmes si c’est parfois difficile à cause de leur grande popularité.
Cryptique César! 