Passer au contenu

Mozilla victime collatérale d’un nouveau scandale impliquant la NSA et RSA

Des chercheurs ont démontré qu’un deuxième outil de la société RSA, et développé par la NSA, nuisait à la sécurité de solutions de chiffrements utilisées à travers le monde. Mozilla pourrait être impliqué par la bande?

Deuxième coup de Trafalgar en quelques mois au cœur de RSA, la division sécurité du groupe EMC, qui fournit des solutions de chiffrements très utilisées sur le Web et dans la protection de mots de passe.

En décembre dernier, l’agence Reuters révélait que la NSA avait payé 10 millions de dollars à la société américaine pour qu’elle utilise comme système de chiffrement par défaut un outil développé par l’agence gouvernementale américaine. Le système en question, baptisé Dual Elliptic Curve, génère aléatoirement des nombres mais intègre une porte dérobée qui permet à la NSA de casser le chiffrement. Dans un commentaire reçu par mail, RSA « affirme catégoriquement n’avoir jamais signé de contrat et n’avoir jamais lancé de projet dans l’intention d’affaiblir les produits RSA ou d’intégrer des ‘backdoors’ potentielles dans ses produits pour qu’ils soient utilisés à d’autre fins que la sécurité des informations qu’ils protègent ».

Une nouvelle faille

Quoi qu’il en soit, aujourd’hui, ce sont des chercheurs de plusieurs universités, celles de l’Illinois et du Wisconsin notamment, qui déclarent avoir trouvé un deuxième outil développé par la NSA qui contribue à fragiliser la solution de RSA. L’outil, appelé Extended Random, qui sert d’extension pour sécuriser les sites Web, pourrait dans les faits servir à cracker le Dual Elliptic Curve des dizaines de milliers de fois plus vite.
A l’origine, il était censé renforcer le caractère aléatoire de la génération de nombres servant à créer des clés de chiffrements. En définitive, il semble qu’Extended Random transmet un petit supplément de données qui rend plus prédictible les informations chiffrées qui suivent.
Au point que Matthew Green, un des chercheurs en sécurité, expliquait à Reuters : « Si utiliser Dual Elliptic Curve revenait à jouer avec des allumettes, ajouter à cela Extended Random revenait à se recouvrir d’essence ».
Les chercheurs expliquent que l’Extended Random n’était pas très utilisé. Sam Curry, en charge de la technologie chez RSA indiquait à Reuters : « Nous aurions pu être plus prudent sur les intentions de la NSA. Nous leur avons fait confiance parce qu’ils sont chargés de la sécurité du gouvernement et des infrastructures critiques américains ».

Mozilla, concerné via WebRTC

De manière plus préoccupante, il semblerait que Extended Random ait été développé par Margaret Salter, directrice technique d’une des sections de la NSA, et par un expert indépendant, nommé Eric Rescorla. Ce dernier est un grand défenseur du chiffrement du trafic de données en ligne et travaille notamment pour Mozilla, qu’il conseille sur l’implémentation de WebRTC. Ce protocole de communication en temps réel sécurisé au sein des navigateurs a d’ailleurs été en grande partie développé par Eric Rescorla, à en croire le site de l’IETF. Ce qui pourrait jeter un doute sur sa motivation, laisse entendre Reuters.
Cette révélation montre à quel point la NSA a pu se servir de son rôle de conseiller technique pour pervertir les outils de sécurité.

A lire aussi :
Comment la NSA a industrialisé le hacking – 15/03/2014

Source :
Reuters
Résumé de l’étude

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Pierre Fontaine