Les États-Unis travaillent à l'élaboration de nouvelles normes de chiffrement destinées à résister aux pouvoirs de l'informatique quantique, une technologie émergente qui impliquerait des machines capables d'effectuer des calculs mathématiques à haut débit, capables de craquer les algorithmes de chiffrement actuels sans transpirer. Et alors qu'elle est impliquée dans le processus d'élaboration des nouvelles normes de sécurité, la National Security Agency (NSA) a "assuré" la semaine dernière qu'elle n'a aucun moyen de contourner le nouveau système de chiffrement américain. Par le passé, l'agence avait été impliquée dans plusieurs actions contre le chiffrement.Après avoir été la cible de cyberattaques hautement dévastatrices au cours de ces deux dernières années, les États-Unis ont décidé de renforcer la cybersécurité du pays à travers l'élaboration de nouvelles normes de sécurité. Cette initiative comprend le développement d'une nouvelle génération de normes de chiffrement de haute sécurité qui seront robustes dans le climat technique actuel et sont conçues pour résister au contournement à l'ère de l'informatique quantique. La NSA est impliquée dans certaines parties du processus d'élaboration de ces normes et les critiques craignent qu'elle use de stratagèmes pour introduire des portes dérobées.
Cependant, l'agence assure n'avoir aucun moyen particulier de miner les nouvelles protections. La semaine dernière, Rob Joyce, directeur de la cybersécurité de la NSA, a déclaré : « il n'y a pas de portes dérobées ». Pour rappel, une porte dérobée permet à quelqu'un d'exploiter une faille délibérée et cachée pour casser le chiffrement. « Les algorithmes candidats sur lesquels le NIST organise des concours semblent tous solides et sûrs, et correspondent à ce dont nous avons besoin pour la résistance quantique. Nous avons travaillé contre tous ces algorithmes pour nous assurer qu'ils sont solides », a insisté le directeur de la cybersécurité de la NSA.
Selon des experts, cela semble être une bonne chose, bien qu'il semble également important de mentionner que la NSA n'a pas un bilan prodigieux en matière de cybersécurité. L'agence a déjà été impliquée dans des stratagèmes visant à créer des portes dérobées contre le chiffrement, notamment dans une situation au début des années 2010 où un algorithme de chiffrement développé par la NSA a été abandonné en tant que norme fédérale, car l'on craignait qu'il ne contienne une porte dérobée. Voici une liste non exhaustive de faits se rapportant aux portes dérobées auxquels le nom de l'agence est lié depuis la dernière décennie :
- en 2013, il a été rapporté que la NSA avait versé 10 millions de dollars à la société de sécurité RSA. En échange de cela, RSA aurait implanté un algorithme de chiffrement compromis dans le logiciel de ses produits, appelé "Dual_EC_DRBG". On pense généralement que cet algorithme a servi de porte dérobée à la NSA ;
- en 2014, il a été rapporté que la NSA avait intercepté du matériel fabriqué aux États-Unis et envoyé à l'étranger. Les agents de la NSA auraient implanté des portes dérobées dans les produits, les auraient reconditionnés, puis les auraient envoyés ;
- en 2015, le fabricant de produits réseau Juniper Networks a annoncé qu'une porte dérobée présumée avait été découverte à l'intérieur du système d'exploitation qui fait fonctionner ses pare-feu. La NSA est depuis longtemps soupçonnée d'avoir été impliquée ou d'avoir été responsable par inadvertance des faiblesses de sécurité qui ont permis aux pirates de s'introduire dans les appareils ;
- en 2020, le Congrès a tenté d'obtenir une réponse claire de la NSA pour savoir si elle continuait à installer des portes dérobées dans le matériel et les logiciels fabriqués aux États-Unis. Anne Neuberger, alors membre du personnel de la NSA, a déclaré : « nous ne partageons pas les processus et procédures spécifiques » ;
- en février, il a été signalé qu'une porte dérobée affectant la plupart des distributions Linux avait été découverte. Cette porte dérobée, baptisée "Bvp47", aurait été "liée" à l'Equation Group, un groupe de pirates bien connu au sein de la NSA.
En raison de ces précédents, beaucoup se demandent s'il serait prudent d'adopter des normes de "sécurité" dans lesquelles la NSA est impliquée. Mais encore, Joyce a déclaré que la NSA dispose déjà de ses propres algorithmes classifiés résistants aux quanta, qu'elle a développés pendant plusieurs années. Par ailleurs, alors que les États-Unis tentent de renforcer le chiffrement, d'autres pays comme l'Australie cherchent à l'affaiblir. En 2018, l'Australie a adopté un projet de loi anti-chiffrement, "Assistance and Access Bill", sans amendements, malgré les protestations de l'industrie technologique.
En vertu de cette loi, les agences gouvernementales australiennes pourraient émettre trois types d'avis : (1) les avis d'assistance technique qui sont des avis contraignants, obligeant un fournisseur de communications à utiliser une capacité d'interception dont ils disposent déjà ; (2) les avis de capacité technique qui sont des avis contraignants qui obligent un fournisseur de communications à créer une nouvelle capacité d'interception, afin qu'il puisse respecter les avis d'assistance technique ultérieurs ; et enfin (3) les demandes d'assistance technique décrites par les experts comme les plus dangereuses de toutes.
En France, le président Emmanuel Macron milite également pour une levée de l'anonymat sur Internet. Lors des élections présidentielles précédentes, il a déclaré qu'il ne devrait pas y avoir d'anonymat en ligne. Il compare l'anonymat qu'offrent les plateformes numériques à une "cagoule" permettant à n'importe qui d'agir de manière abjecte, la plupart du temps impunément, sur Internet. « Dans une société démocratique, il ne devrait pas y avoir d'anonymat. On ne peut pas se promener encagoulé dans la rue. Sur Internet, les gens s'autorisent, car ils sont encagoulés derrière un pseudo, à dire les pires abjections », a-t-il déclaré à Le Point.
Pour cette raison, il entend continuer à plaider pour la suppression de l'anonymat en ligne. En février 2019, Emmanuel Macron déclarait déjà que pour améliorer la qualité de la démocratie participative, l'on « devrait aller vers une levée progressive de toute forme d'anonymat » en faisant mention de « processus où l'on sait distinguer le vrai du faux et où l'on doit savoir d’où les gens parlent et pourquoi ils disent les choses ». Macron pense que cela est nécessaire étant donné qu'aujourd'hui, « on a beaucoup d’informations, tout le temps, mais on ne sait pas d’où elles viennent ». Cependant, cette proposition avait été fortement critiquée.
Plus récemment, l'UE a également déclaré la guerre au chiffrement au nom de la protection des enfants. Une proposition de la Commission européenne pourrait obliger les entreprises technologiques à analyser les messages privés à la recherche de matériel d'abus sexuel d'enfants (CSAM) et de preuves de pédopiégeage, même lorsque ces messages sont censés être protégés par un chiffrement de bout en bout.
La sollicitation d’enfants à des fins sexuelles, ou pédopiégeage, est « une pratique où un adulte se "lie d’amitié" avec un enfant (de manière générale en ligne, mais le pédopiégeage hors ligne existe également) dans le but de commettre des abus sexuels à son encontre ». L'adulte cherche à se rapprocher d'un enfant et à instaurer avec lui une relation affective, voire parfois aussi avec sa famille, pour lever les inhibitions de la victime dans l'intention de perpétrer des abus sexuels.
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous de l'implication de la NSA dans les nouvelles normes américaines pour le chiffrement ? Pensez-vous que l'on devrait faire confiance à la NSA lorsqu'elle affirme qu'elle n'a pas inséré de portes dérobées dans les nouvelles normes ?Voir aussi
PRISM : la NSA serait capable de déchiffrer des communications VPN sécurisées et le protocole SSL La NSA ambitionne de créer des ordinateurs quantiques, capables de briser toute sorte de chiffrement NSA : les ordinateurs quantiques menacent les solutions de chiffrement actuelles, il faut se concentrer sur le chiffrement du futur 
Envoyé par Bill Fassinou
