La NSA aurait cassé HTTPS et SSL !
ven, 06/09/2013 - 11:44
Nouvelle révélations dans l'affaire Edward Snowden, rapportées par le Guardian, le New York Times américain et une site d'information : Propublica.
Selon les révélations d'Edward Snowden rapportées par ces sites, la NSA conduit depuis 10 ans un programme, Bullrun, 10 ans, afin de lutter contre le chiffrement des communications, qui empêchent un "accès sans restriction au cyberespace".
D'après le Guardian, les travaux de la NSA dans le cadre de Bullrun ont donné suffisamment de résultats qui "compromettent largement les garanties avancées par les entreprises d'Internet sur la protection des informations de leurs utilisateurs".
En clair, si l'on peut dire, la NSA serait capable d'exploiter de "vastes quantités" de données interceptées grâce à l'écoute des câbles Internet, en dépit des démentis qui ont toujours été apportés par le propriétaires des dits câbles. Ainsi les communications HTTPS ne seraient plus sûres pour personne, en raison de la compromission de la couche de cryptage SSL.
La NSA aurait plusieurs cordes à son arc. Des supercalculateurs pour casser des codes en force brute, et aussi, et tout simplement, des backdoors, mises en place avec la complicité forcée de nombres d'entreprises technologiques, et influence sur la définition des standards mondiaux de chiffrement. La NSA aurait encore accès au trafic pré-encrypté de plusieurs services dont Outlook et Skype.
Un billet de blog de Bruce Schneier, expert en sécurité, également publié sur le site du Guardian, tempère toutefois ces révélations. Selon lui, les mathématiques restent souveraines et la NSA n'a certainement pas pu obtenir une méthode de décryptage universelle. En ce qui concerne la force brute, même si la formidable puissance des ordinateurs quantiques pourrait théoriquement casser les clés de cryptage en force brute et en un rien de temps, il est douteux selon Bruce que la NSA en soit déjà arrivée là, alors que la discipline sort à peine du stade théorique. En revanche, Bruce pointe le danger qu'il y a à utiliser des clés de cryptage qui ne sont pas assez longues.