Un éminent expert en cryptographie, Daniel Bernstein, de l’université de l’Illinois à Chicago, affirme que l’Institut national américain des normes et de la technologie (NIST) dissimule délibérément le niveau d’implication de l’Agence nationale de sécurité (NSA) des États-Unis dans le développement de nouvelles normes de chiffrement pour les « ordinateurs quantiques ». Il estime également que le NIST a commis des erreurs - accidentelles ou délibérées - dans les calculs décrivant la sécurité des nouvelles normes. Si le NIST nie ces allégations. Bernstein déclare que « Le NIST ne suit pas les procédures conçues pour empêcher la NSA d’affaiblir la PQC ». Il ajoute que « Les personnes qui choisissent les normes cryptographiques devraient suivre de manière transparente et vérifiable des règles publiques claires, de sorte que nous n’ayons pas à nous inquiéter de leurs motivations. Le NIST a promis la transparence et a ensuite affirmé qu’il avait montré tout son travail, mais cette affirmation n’est tout simplement pas vraie ».
Pour les données communiquées sur un réseau, le chiffrement moderne brouille les données à l'aide d'une valeur secrète ou d'une clé connue uniquement par le destinataire et l'expéditeur. Pour les données stockées, la valeur secrète n'est généralement connue que du propriétaire des données. Il existe différents types de chiffrement et les meilleurs systèmes équilibrent la sécurité et l'efficacité.
La NSA recommande une transition vers des algorithmes cryptographiques résistants aux quanta
Le chiffrement de bout en bout est une méthode de communication sécurisée qui empêche les tiers d’accéder aux données transférées d’un point de terminaison à un autre. Cette méthode de chiffrement est considérée comme la plus sûre, car seuls l’expéditeur et le destinataire peuvent lire le message. Toutefois, les États membres de l’UE ne parviennent toujours pas à se mettre d’accord sur le chiffrement de bout en bout, car les opinions divergent quant à la protection des droits et la surveillance de masse.
Le NIST recommande la normalisation de quatre algorithmes cryptographiques pour protéger les données contre les ordinateurs quantiques. Les algorithmes cryptographiques de la Suite B sont actuellement utilisés par la NSA pour protéger les systèmes de sécurité. Cependant, la NSA a annoncé en 2015 son intention de passer à des algorithmes cryptographiques résistants aux quanta, en prévision au moment où les ordinateurs quantiques permettront d’accéder aux données chiffrées par les algorithmes actuels, tels que l’Advanced Encryption Standard (AES) et le RSA.
L’objectif ultime est de fournir une sécurité efficace contre un éventuel ordinateur quantique. « Nous travaillons avec des partenaires du gouvernement américain, des fournisseurs et des organismes de normalisation afin de garantir l’existence d’un plan clair pour l’obtention d’une nouvelle suite d’algorithmes développée de manière ouverte et transparente, qui constituera la base de notre prochaine suite d’algorithmes cryptographiques », déclare l’organisation.
Jusqu’à ce que cette nouvelle suite soit développée et que des produits soient disponibles mettant en œuvre la suite résistante au quantique, la NSA s’appuiera sur les algorithmes actuels. Pour les partenaires et les fournisseurs qui n’ont pas encore effectué la transition vers les algorithmes à courbe elliptique de la Suite B, l’Agence nationale de la sécurité recommande de ne pas engager de dépenses importantes à ce stade, mais plutôt de se préparer à la transition vers ces nouveaux algorithmes.
La NSA pourrait affaiblir le chiffrement de nouvelle génération
D’après les experts de la détection des menaces chez Vectra, le chiffrement des fichiers cloud partagés est la plus grande menace de rançongiciels. Les pirates peuvent obtenir une économie d’échelle plus rapide et plus dommageable en chiffrant les fichiers auxquels accèdent de nombreuses applications métier sur le réseau plutôt que de chiffrer des fichiers sur des périphériques individuels.
Chris Morales, responsable de l’analyse de la sécurité chez Vectra, déclare que « les retombées des attaques de rançongiciel contre les fournisseurs de services cloud sont bien plus dévastatrices lorsque les systèmes d’entreprise de tous les clients hébergés dans le cloud sont chiffrés ». Le gouvernement indien estime que le chiffrement ne fait que permettre aux criminels d’éviter la détection et de menacer la sécurité nationale et publique. Pour certains analystes, bien que le gouvernement indien ait tort, cela ne l’a pas empêché d’essayer d’imposer des portes dérobées ou d’interdire purement et simplement les communications chiffrées.
Fujitsu a révélé en début d’année qu’une nouvelle étude réalisée sur son simulateur quantique de 39 qubits suggère qu’il restera difficile pour les ordinateurs quantiques de craquer la cryptographie RSA dans les années à venir. Daniel Bernstein estime que le NIST a commis des erreurs - accidentelles ou délibérées - dans les calculs décrivant la sécurité des nouvelles normes. En déclarant que le NIST dissimule délibérément le niveau d'implication de la NSA des États-Unis dans le développement de nouvelles normes de chiffrement pour les « ordinateurs quantiques ».
Les équations mathématiques utilisées pour protéger les données seraient impossibles à résoudre
De l’avis de certains observateurs, bien que les gouvernements et les services de détection et de répression n’aiment pas que d’autres parties puissent chiffrer leur trafic et ne pas être surveillées, tous les efforts pour intégrer une vulnérabilité mathématique dans les normes de chiffrement signifient simplement qu’ils introduisent une porte dérobée à laquelle d’autres parties peuvent accéder.
« Les personnes qui choisissent les normes cryptographiques devraient suivre de manière transparente et vérifiable des règles publiques claires, de sorte que nous n'ayons pas à nous inquiéter de leurs motivations. Le NIST a promis la transparence et a ensuite affirmé qu'il avait montré tout son travail, mais cette affirmation n'est tout simplement pas vraie », déclare Bernstein.
Selon Bernstein, les équations mathématiques utilisées pour protéger les données sont pratiquement impossibles à résoudre aujourd'hui, même pour les plus grands superordinateurs. Mais lorsque les ordinateurs quantiques seront suffisamment fiables et puissants, ils pourront les résoudre en quelques instants.
Le sujet de la cryptographie est complexe et nécessite une expertise approfondie pour être compris dans son intégralité. Cependant, les allégations de Daniel Bernstein sont préoccupantes et soulèvent des questions sur la fiabilité des normes cryptographiques du NIST. Il est important que les normes cryptographiques soient transparentes et vérifiables, afin que les utilisateurs puissent avoir confiance dans leur sécurité.
Les erreurs délibérées ou accidentelles dans les calculs de sécurité peuvent avoir des conséquences désastreuses pour les utilisateurs. Il est donc crucial que les normes cryptographiques soient rigoureusement testées et vérifiées avant d’être mises en place. En fin de compte, il est important que les utilisateurs soient conscients des risques potentiels liés à l’utilisation de la cryptographie et qu’ils prennent des mesures pour protéger leurs données.
Source : Daniel Bernstein, Internet society
Et vous ?
Comment les normes cryptographiques sont-elles testées et vérifiées avant d’être mises en place ? Quels sont les risques potentiels liés à l’utilisation de la cryptographie ? Quels sont les avantages et les inconvénients des différents types de chiffrement ?Voir aussi :
Les ordinateurs quantiques ne menacent pas encore le chiffrement, selon Fujitsu, alors que pour certains spécialistes, les véritables ordinateurs quantiques n'existeraient pas encore Les États membres de l'UE ne parviennent toujours pas à se mettre d'accord sur le chiffrement de bout en bout, les opinions divergent quant à la protection des droits et la surveillance de masse La plus grande menace de rançongiciels serait le chiffrement des fichiers cloud partagés, selon les chercheurs de Vectra 
Envoyé par Jon Shannow
