NSA espionnage global: la NSA achète RSA pour corrompre le protocole d’encryptage…

Cet article que nous avons traduit est à mettre en parallèle direct avec notre dernière traduction sur le sujet de la NSA et l’éradication de la vie privée mondiale. La corruption est une des armes privilégiées de la NSA pour développer son programme mondial d’espionnage.

— Résistance 71 —

 

L’entreprise de sécurité informatique RSA a pris 10 millions de dollars de la NSA afin de réduire sa capacité d’encryptage

RT

 

20 décembre 2013

 

url de l’article original:

http://rt.com/usa/rsa-nsa-deal-weaken-encryption-581/

 

~ Traduit de l’anglais par Résistance 71 ~

 

L’Agence Nationale de la Sécurité américaine (NSA) a organisé un contrat clandestin de 10 millions de dollars avec l’entreprise de sécurité informatique RSA qui a permis à l’agence d’espionnage d’implanter des logiciels d’encryptage qu’elle pouvait utiliser pour infiltrer les produits largement utilisés de l’entreprise informatique, a rapporté l’agence de presse Reuters.

Des révélations fournies par l’ancien employé de la NSA Edward Snowden et reprises d’abord en Septembre ont montré que la NSA avait créé et perpétué une formule corruptible qui devint ultimement un port d’accès furtif (backdoor) aux produits d’encryptage.

Reuters a rapporté ensuite que RSA devint le principal distributeur de la formule, l’installant dans un outil de logiciel appelé BSAFE qui est largement utilisé pour améliorer la sécurité des ordinateurs personnels (PC) et d’autres produits.

A l’époque, l’accord secret de 10 millions de dollars qui permit à la formule de la NSA de devenir la méthode par défaut des mesures de sécurité, était inconnu ; dans cette formule où des chiffres sont générés de manière aléatoire sur une clef pour avoir accès à un produit dans BSAFE, d’après les sources de Reuters. Bien que la somme d’argent impliquée semble être faible, ceci représentait alors plus d’un tiers du revenu que la division idoine de de l’entreprise RSA avait généré l’année précedente, en accord avec les archives de l’agence de sécurité.

RSA était auparavant connue pour sa croisade pour la protection de la sécurité des ordinateurs et de la vie privée face aux intérêts du gouvernement et elle joua un rôle majeur dans le blocage des efforts par la NSA dans les années 90 de requérir la mise en service d’une puce spéciale qui aurait permise la surveillance sur beaucoup d’ordinateurs et de produits destinés à la communication.

Après la révélation de Septembre, RSA, maintenant une antenne d’une entreprise de stockage informatique EMC Corp, a prévenu de manière privée des milliers de ses clients d’immédiatement arrêter d’utiliser toutes les versions du toolkit BSAFE et de son Data Protection Manager (DPM), qui utilisent tous deux l’algorithme de chiffrage/encryptage Dual EC DRNG (Dual Elliptic Curve Deterministic Random Bit Generator), pour protéger les données sensibles.

RSA et EMC n’ont pas voulu commenter avec Reuters sur l’accord présumé, mais RSA a dit dans un communiqué: “RSA agit toujours dans le meilleur intérêt de ses clients et en aucune circonstance RSA a t’elle créé ou permis quelque accès furtif que ce soit (backdoors) dans ses produits. Les décisions au sujet des caractéristiques et de la fonctionalité des produits RSA demeurent les nôtres.”

La NSA s’est refusée à tout commentaire.

La plupart de la douzaine d’employés actuels ou anciens de RSA interrogés par Reuters ont cité le fait que l’entreprise s’était détachée de ne strictement que faire des produits réservés à l’encryptage et que ceci aurait pu être la raison de ce mauvais accord passé. Quelques uns des employés ont aussi dit que des officiels du gouvernement avaient trompé RSA en faisant le portrait informatique de la formule corrompue comme étant très sécure. “Ils n’ont pas montré leur jeu” a dit une source qui était au courant de l’accord passé avec la NSA.

La campagne de RSA pour la sécurité

L’histoire de RSA en tant que pionnier d’un codage de confiance remonte aux années 1970. Leurs outils de codage de données avaient alors été diffusés sous licenses de bien des entreprises informatiques majeures, qui ont utilisées les produits de RSA pour sécuriser des centaines de millions de PC dans le monde. Leur technologie de base, la clef publique de cryptographie, utilise deux clefs au lieu d’une pour encoder publiquement les messages, pour ensuite les révéler de manière privée.

Même dans les premiers jours de l’existence de RSA, l’entreprise fut en conflit avec les entités du renseignement américaines, qui s’inquiétaient que le format de double clef bloquerait l’accès du gouvernement aux données. Alors que les produits de RSA devenaient de plus en plus utilisés, le contentieux atteignit de nouveaux sommets. Dans les années 90, le gouvernement Clinton poussa pour une puce spéciale, la Clipper Chip, pièce obligatoire de hardware qui serait mise dans les téléphones, les ordinateurs et qui permettrait aux fonctionnaires des services de débrayer l’encodage sans mandat de justice. RSA mena une forte campagne pour bloquer le projet de Clipper Chip, argumentant que des produits si facilement mis sous surveillance handicapperait de manière conséquente les ventes à l’étranger des produits de haute technologie américains.

La Maison Blanche changera de cap ensuite pour soutenir un plus fort contrôle des exportations afin de maintenir la cryptographie aux USA, RSA persuada encore l’industrie de s’opposer et de stopper cet effort du gouvernement. Les restrictions à l’exportation furent de fait écartées.

Une ère nouvelle

Mais les attaques du 11 septembre 2001 changèrent les dynamiques du pouvoir. De plus, beaucoup des anciens ingénieurs informatiques qui prirent part aux combats contre le gouvernement, quittèrent l’entreprise et BSAFE devenait alors une part de plus en plus petite des revenus de l’entreprise.

 “Quand j’ai rejoint l’entreprise, il y avait 10 personnes dans le laboratoire de recherche et nous combattions la NSA”, a dit Victor Chan, un top ingénieur de RSA avant qu’il ne parte en 2005. “C’est devenu une entreprise bien différente par la suite.”

Dès 2006, RSA était considérée comme associée privilégié du gouvernement dans la lutte contre les hackers de l’étrangers.

Le nouveau directeur exécutif de RSA, Art Coviello, qui a refusé un entretien avec Reuters, signa pour adopter le nouvel algorithme appelé Dual Elliptic Curve, créé par la NSA, et ce avant même que la formule ne fut approuvée pour une utilisation gouvernementale. L’utilisation de l’algorithme par RSA a en fait aidé la NSA a gagner l’accord du National Institutes of Standards and Technology (NdT: le NIST… qui pondit le “rapport” gruyère sur les attentats du 11 septembre et qui demeure, malgré des invraisemblances notoires et flagrantes, la base officielle de la théorie du complot gouvernementale des évènements…), qui supervise l’utilisation des produits technologiques du gouvernement.

Le contrat de RSA avec cette Dual Elliptic Curve, fit de ce sytème la formule par défaut pour produire les chiffres aléatoires des outils d’encryptage de l’entreprise. D’anciens employés ont dit que des leaders commerciaux de l’entreprise approuvèrent l’accord plutôt que les techniciens et ingénieurs, aucune alarme ne fut tirée.

“Le groupe de laboratoires avait joué un rôle très impliqué dans l’affaire BSAFE et ils étaient pratiquement tous partis”, a dit l’ancien du lab Michael Wenocur qui quitta RSA en 1999.

Bien qu’il a averti ses clients d’arrêter d’utiliser le Dual Elliptic Curve après les révélations de Septembre, RSA a été publiquement très discret au sujet de sa relation avec la NSA

L’accord de RSA implique une fois de plus une stratégie clef que la NSA emploie pour renforcer sa surveillance, comme montré par les documents fuités par Snowden: l’affaiblissement des outils de sécurité en tant que résultat de “relations commerciales” de l’agence avec les entreprises de sécurité et de technologie informatiques.

Un comité de supervision établi par la Maison Blanche pour enquêter sur les opérations de surveillance controversives et controversées de la NSA a dit cette semaine qu’il croyait que la NSA devrait faire des changements quant à son protocole d’espionnage, incluant les mesures qui ont usurpées la cryptographie.

Parmi les recommendations, le panel a appelé le gouvernement américain à “totalement soutenir et ne pas entraver les efforts de création de standards pour l’encryptage de données et de ne pas subvertir, entraver, affaiblir ou rendre vulnérable de quelque manière que ce soit, les logiciels déjà disponibles commercialement.”