Retour aux actualités
Article suivant Article précédent

Revue 174 - La NSA et l'évolution des algorithmes de cryptage

Articles Revue TELECOM

-

15/10/2014




La NSA et l’évolution

des algorithmes de cryptage



Par Bernard Roussely dans la revue TELECOM n° 174

 

Il y aura un avant et un après Snowden en matière de confiance numérique et un équilibre des pouvoirs entre espions, contre-espions et autorités de cyber-protection et de cyber-régulation est nécessaire pour que la croissance des activités liées au numérique se poursuive, sous peine d’une plus grande réserve des cybernautes quant à l’utilisation de services en ligne.
Cependant si les quelques 1,7 millions de documents exfiltrés par Edward Snowden de SIPRnet1 révèlent l’ampleur ainsi que le caractère méthodique et systématique de l’espionnage de la NSA2 ainsi que ses tentatives d’affaiblissement des systèmes informatiques, des réseaux (par l’insertion d’implants spécifiques) et des protocoles cryptographiques, il est difficile d’être totalement surpris compte tenu du passif de cette agence en la matière. 
Cet article reprend quelques épisodes, depuis le milieu des années 1970, qui montrent la constance de la NSA dans ses efforts pour assurer sa maîtrise de l’information et qui ont pour conséquence d’affaiblir la « confiance numérique » dans le cyber-espace.



Du DES à l’AES en passant par PGP

La NSA se fait connaître du public pour ses compétences en cryptographie au milieu des années 70. Le NIST3, qui s’appelait alors le NBS, a besoin d’un algorithme de chiffrement pour protéger les informations sensibles4 des entités fédérales. IBM est chargé de développer cet algorithme et propose Lucifer, dont les clés font 128 bits, ce qui a posteriori semble avant-gardiste pour l’époque. La NSA, en tant que conseiller technique du NBS, modifie profondément l’algorithme qui deviendra le Data Encryption Standard (DES). La taille des clés passe de 128 à 56 bits mais le changement le plus remarqué porte sur ce que l’on appelle les « boîtes » 5 de substitution dont les critères de choix ne sont pas rendus publics6. Dès lors, la NSA est soupçonnée d’avoir introduit une vulnérabilité dans le DES (une « backdoor ») lui permettant de retrouver facilement le clair à partir du chiffré.

En réalité, même s’il est indéniable que le DES est un algorithme aux propriétés parfois surprenantes et déroutantes, une autre théorie est possible. La NSA applique la loi de Moore et fait l’hypothèse qu’il faudra environ 10 ans pour que le DES soit largement utilisé par l’industrie. Elle détermine alors qu’une taille de clé de 56 bits est « acceptable » au regard des informations en sa possession et de son hypothèse sur le déploiement du DES. Comme un joueur d’échec, l’Agence a plusieurs coups d’avance et, au milieu des années 80, elle possède tous les outils nécessaires pour casser le DES de manière industrielle. Cette capacité ne l’empêche pas de conduire d’autres actions pour faciliter son travail d’interception et l’export de produit à base de DES (ou d’autres algorithmes) est contrôlé. Les versions logicielles export du DES sont bridées avec des clés de 40 bits.

Suspicion aidant, de très nombreux chercheurs à travers le monde se lancent dans la cryptanalyse du DES et ouvrent ainsi une boîte de Pandore qui ne se refermera plus, pour le plus grand malheur des services de renseignement. En 1990, Adi Shamir, le ’S’ de RSA, associé à Elie Biham « découvre » 7 la cryptanalyse différentielle avec une attaque, certes trop complexe à réaliser avec des moyens classiques de l’époque, qui affaiblit considérablement le DES. Ils sont suivis trois ans plus tard par Mitsuru Matsui qui « invente » la cryptanalyse différentielle, qui affaiblit encore plus le DES. Entretemps, des rumeurs sur la faiblesse du DES ont circulé, surtout en provenance du Royaume-Uni et du GCHQ8, qui, comme par hasard, a une solution de remplacement pour l’industrie de défense avec (la famille) Rambutan.

Le contrôle voulu par la NSA (et le FBI) sur la cryptographie et les interceptions va prendre une mauvaise tournure avec plusieurs affaires. La première est révélée en 19889 par un journaliste britannique, Duncan Campbell. Il s’agit d’ECHELON, un nom de code désignant un réseau mondial d’interception mis en œuvre par ceux que l’on n’appelle pas encore les FIVE EYES et dont les agences techniques en charge du SIGINT10 sont : la NSA pour les Etats-Unis, le GCHQ pour le Royaume-Uni, le CSE11 pour le Canada, le DSD12pour l’Australie et le GCSB13 pour la Nouvelle-Zélande14,15.

La seconde est la tentative par la NSA et le FBI de contrôler les communications chiffrées sur le territoire américain :
c’est le fiasco du Clipper Chip. L’idée de l’Agence est que chaque équipement de cryptophonie déployé sur le territoire soit équipé d’une puce, le Clipper Chip, répondant à ses spécifications, dont, entres autres, l’utilisation d’un algorithme classifié nommé SKIPJACK16 pour le chiffrement du trafic, mais offrant la possibilité aux Agences (et surtout au FBI) d’avoir accès au trafic en clair. Cette initiative est très mal reçue par l’industrie et par les mouvements de défense des libertés individuelles, très actifs et influents aux Etats-Unis. Le Clipper Chip est mort-né mais les Agences se consolent avec le Communications Assistance for Law Enforcement Act (CALEA) qui oblige les opérateurs à leur fournir un accès aux centraux téléphoniques pour intercepter le trafic.

Sous le feu des critiques aux Etats-Unis, la NSA n’est pas la seule à devoir être blâmée pour des activités de renseignement faisant fi des droits individuels en matière de protection des données privées. Elle gagne aussi des batailles qu’elle n’a même pas à mener et, pour cela, elle peut compter sur son indéfectible alliée, sa sœur jumelle britannique : le GCHQ. Le GCHQ a des positions sur la libéralisation de la cryptographie qui sont souvent bien plus dures que celle de la NSA, sans doute parce qu’elle a beaucoup moins de moyens techniques17. Elle possède néanmoins des personnels très brillants souvent sortis d’Oxbridge et a compris très tôt que le recrutement ne devait plus se faire sur la base de la résolution des mots-croisés du Times, mais sur la base de très solides connaissances, en particulier dans le domaine mathématique18. Sa politique anti-prolifération cryptologique est bien affirmée et le GSM va lui donner l’occasion de montrer tout son talent, avec l’appui des « services » français, trop contents de l’aubaine. Le GSM a besoin d’un algorithme de chiffrement pour sécuriser les échanges entre le terminal et la station de base19. Ce sera l’A5 qui existera en plusieurs déclinaisons dans le temps. Le fonctionnement de l’A5 est secret et il faudra attendre la fin des années 90 pour qu’il soit rendu public après que Marc Briceno en ait fait la rétro-ingénierie en 199920. La proposition initiale est que l’A5 soit utilisé avec une clé de 128 bits, ce qui au début des années 80 est toujours ambitieux mais pas nécessairement problématique en terme de performance compte tenu du temps qu’il va falloir avant d’arriver en production, fin des années 80. Cette taille de clé est purement inacceptable pour les « services » et le GCHQ, qui avance caché avec son entité appelée CESG21, va user de toute son influence pour réduire cette taille à 54 bits, que l’on rapprochera de celle du DES. Cette valeur semble être un bon indicateur de la capacité des agences techniques à casser du code en temps réel ou quasi-réel au milieu des années 8022. Le GCHQ est soutenu par presque tous les services des autres états concernés par le développement du GSM, à l’exception de ceux de l’Allemagne, qui craint les interceptions des pays du pacte de Varsovie à sa frontière de l’Est. La France se montre très zélée dans cette affaire et sera active dans le « développement » de l’algorithme A5 malgré quelques turpitudes internes.

Echaudés par ces tentatives visant à faciliter les écoutes et les interceptions, des activistes décident de réagir pour « protéger les libertés individuelles » et notamment les communications privées. C’est la troisième affaire d’envergure en quelques années qui va mettre la politique de la NSA en lumière. Phil Zimmermann développe Pretty Good Privacy (PGP) et doit affronter le courroux des autorités américaines. PGP est devenu possible grâce à plusieurs facteurs et en particulier « l’invention » de la cryptographie asymétrique au milieu des années 70 par Whitfield Diffie et Martin Hellman puis sa mise en œuvre avec RSA, l’algorithme de Ronald Rivest, Adi Shamir et Leonard Adleman.

RSA est le cauchemar des Agences de sécurité car il a la fâcheuse propriété de pouvoir, selon le mode choisi, soit signer, soit chiffrer un message et fin des années 80, début des années 90, ces Agences n’ont pas nécessairement les compétences pour « casser » du RSA23 et ses clés très longues24. Elles s’intéressent à la cryptographie symétrique pour d’évidentes raisons et les systèmes de distribution de clés (autre application possible de RSA) sont centralisés, hiérarchiques, archaïques pour certains (avec des bandes perforées) et n’utilisent surtout pas de cryptographie asymétrique. Zimmermann mène un long combat qui prend fin après plusieurs années difficiles pour lui. La NSA et les autres « agences à trois lettres » américaines ont perdu, PGP, même s’il existe alors des versions « US » et « internationales » prolifère. Pire encore, l’Administration Clinton prépare une directive qui va complètement libéraliser l’utilisation de la cryptographie à partir de l’année 2000.

Cette directive est devenue nécessaire pour satisfaire les besoins de l’industrie dans un monde où l’Internet prend de l’importance. La NSA a cette fois-ci l’intelligence de ne pas s’engager dans ce combat perdu d’avance. Si Bill Gates n’avait pas prévu l’explosion des services sur Internet dans son livre « Road to the future » en 199525, l’Agence l’a bien compris elle, avant tout le monde, et la Toile va devenir son nouvel Eldorado. Sans doute aidée par quelques visionnaires internes, elle tire les leçons du Clipper Chip et revoit complètement sa politique. La connaissance en matière de cryptologie est maintenant très répandue dans le monde et l’avance de l’Agence par rapport au domaine public diminue chaque année un peu plus. Elle la doit encore à son antériorité dans le domaine et à ses moyens incomparables.

Au début des années 90, Cray Research, le fabriquant de supercalculateurs a vendu environ 300 systèmes dans le monde allant de l’historique CRAY-1 jusqu’à la série YMP. Plus de 20% de ces systèmes sont installés dans des « services spéciaux »26 et parmi ces derniers, 50% se trouvent à la NSA. Ces machines sont essentiellement dédiées à la recherche en cryptographie et à la production pour le SIGINT et les crypto-mathématiciens constituent alors la noblesse de la NSA. L’Agence ne refuse rien à ses experts et les ordinateurs les plus performants de l’époque27 sont utilisés, voire conçus à la demande des ingénieurs28. Seulement, les temps changent et la NSA considère, au moins momentanément et partiellement, que la bataille des « codes » sous sa forme d’alors est perdue. Des algorithmes forts de chiffrement ont été publiés par des académiques et la compétition lancée par le NIST en 1997 pour remplacer le DES par ce qui sera l’AES apparaît comme « la fin de partie » pour les « casseurs de code ».
 

Du SIGINT revisité par TAO à l’invention du « big data »

Dès lors que le nouveau champ de bataille est identifié, par l’Internet et les réseaux qui y sont connectés, c’est à dire un sous-ensemble du cyber-espace, la NSA prend les mesures qui s’imposent. La priorité en matière de recrutement va passer des mathématiciens aux « geeks » qui formeront son armée de cyber-guerriers. Dès le milieu des années 90, l’Agence met en place un réseau au niveau national pour recruter ses nouveaux éléments. Elle noue des partenariats avec des universités prestigieuses, envoie ses cadres en stage dans l’industrie pour faire évoluer la culture de « l’entreprise NSA », du chiffre vers le cyber-espace, et entreprend sa mue technologique.

Plus tard, les documents de Snowden mettront en lumière un service particulier au sein de l’Agence : Tailored Access Operations (TAO), chargé de placer des implants dans des cibles afin d’en prendre le contrôle ou d’en intercepter le trafic, avec son « Advanced Network Technology (ANT29) catalogue », contenant les outils d’attaque, d’exploitation des vulnérabilités et les implants utilisés par TAO. On peut, sans grand risque de se tromper, déduire que TAO et ANT sont nés entre 1995 et 2000 et sont le résultat de la « vision » de la NSA a une époque où la plupart des administrations de la planète découvrait la bureautique et où l’industrie commençait seulement à s’intéresser à Internet.

Avant d’en arriver là, la NSA doit d’abord régler un dernier problème, concernant l’AES, avec sa sœur jumelle. Le GCHQ, toujours aussi rigide sur la libéralisation de la cryptographie, prend mal la compétition lancée par le NIST pour remplacer de DES. Il craint un grand déballage, avec des avancées en cryptanalyse bien plus importantes que celles faites sur le DES. En cela, l’avenir montrera qu’il n’avait pas tort, tellement l’activité de recherche sera intense pendant la campagne sur l’AES. L’avance des services aura encore fondu à la fin de l’exercice30. La compétition démarre donc et une rencontre a lieu à Cheltenham, siège du GCHQ, pour tenter de trouver un terrain d’entente et limiter les dégâts à venir selon la perspective des Britanniques. La NSA est dans une situation inconfortable car elle est chargée de conseiller le NIST sur le choix du vainqueur final31 et elle sait qu’elle sera sous les regards scrutateurs de la communauté internationale qui ne l’apprécie guère et qui n’a aucune confiance en elle. Elle a pourtant tenté de se concilier les faveurs d’académiques influents en sous-traitant des études comme celle sur IPsec faite par Bruce Schneier32, mais elle n’y pas parvenue. Elle ne doit pas s’aliéner le GCHQ et se rend à Cheltenham en ayant préparé un stratagème pour rendre lesBritanniques à la raison. Elle leur propose de soumettre BATON comme candidat à l’AES. BATON est un algorithme classifié co-développé par la NSA et le GCHQ. Il est utilisé dans de nombreux produits gouvernementaux américains et britanniques et « approuvé » par l’OTAN33. Il ne répond pas exactement aux spécifications du NIST mais peut subir les évolutions nécessaires. Cette proposition cause la stupeur et la colère du côté britannique. Elle est jugée totalement irrecevable et irresponsable pour de nombreuses raisons, à commencer pour des raisons opérationnelles. Le ton monte entre les participants et un Britannique va même jusqu’à qualifier son homologue de la NSA de traitre, dans une ambiance plus que tendue. Mais le stratagème a fonctionné, et, en contrepartie du « retrait » de BATON, le GCHQ laisse la NSA procéder comme elle l’entend sur l’AES.

Pour autant, il ne faut pas croire que la NSA ait renoncé à traiter les interceptions chiffrées : on ne renie pas son passé parce que le monde évolue. Si gouverner c’est prévoir, espionner l’est aussi. La NSA ne subira pas la troisième révolution industrielle imaginée parRifkin : elle va tenter de la contrôler. Si on ne peut attaquer un chiffre parce qu’il est trop fort, alors il faut attaquer la source ou utiliser d’autres méthodes, comme affaiblir les standards ou les implémentations ou encore se procurer les clés par d’autres moyens34. Tous les groupes de travail où l’on traite de cryptographie vont être investis et surveillés par la NSA : IETF, IEEE, ISO pour ne citer que les plus en vue.

Les documents de Snowden permettront d’identifier le Dual Elliptic Curve Deterministic Random Bit Generator (Dual_EC_DRBG) comme ayant potentiellement été affaibli par l’Agence via des propriétés mathématiques indésirables et des analyses en cours pourraient révéler d’autres cas douteux.

TAO va implanter des cibles et le trafic, selon une vieille habitude de la maison datant de la guerre froide, sera stocké et traité dans des centres conçus pour héberger des octets en masse. La NSA passe au « big data » avant l’heure et construit des sites gigantesques dans l’Utah et au Texas.

Malgré sa toute-puissance constamment maintenue, l’Agence ne peut pas tout faire par elle-même. Elle va sous-traiter une partie des développements à l’industrie. La zone industrielle qui jouxte Fort Meade est séparée de l’Agence par le Baltimore-Washington Parkway mais les deux entités sont reliées par un pont dont l’accès est réservé au personnel de l’Agence et aux sous-traitants, les fameux « Beltway Bandits35 » comme on les surnomme au Pentagone. Le développement d’implants passe à l’ère industrielle et un premier évènement observable en 2010 va rendre compte de la force de cyber-frappe de la NSA et de ses alliés.

Alors que les autorités américaines dénoncent quotidiennement l’espionnage chinois via Internet, Stuxnet échappe au contrôle de ses créateurs36 et devient public quelque temps après avoir atteint son objectif : retarder le développement de la « bombe » en Iran. Les analyses de rétro-ingénierie qui s’ensuivent montre que l’opération a été conduite sur plusieurs années avec des moyens que seule une agence du type de la NSA possède. Stuxnet a été construit de manière professionnelle et il a sans doute été testé et amélioré sur une réplique des installations de Natanz, avant de pouvoir atteindre son objectif. Un deuxième évènement similaire se produit peu après, en 2012 : il s’agit de la découverte de Flame, un virus avec une forte présence en Iran et considéré comme extrêmement riche en fonctionnalité. Flame exploite notamment une vulnérabilité cryptographique d’une fonction de hachage appelée MD5 et semble porter, plus encore que Stuxnet, la signature de la NSA, car on ne voit pas qui d’autre aurait pu exploiter cette vulnérabilité37 nécessitant une connaissance théorique et des moyens peu courants.

Avec les révélations d’Edward Snowden, la NSA est entrée dans une période trouble, plus trouble encore que celle qu’elle a pu connaître par le passé. Le cas de Snowden est sans doute révélateur d’une situation difficile à vivre pour certains employés. Les services de renseignements recrutent des personnes intègres et s’assurent de leur intégrité via des enquêtes sur leur vie privée et des passages réguliers au détecteur de mensonge, pour ce qui concerne les Etats-Unis. Il arrive donc que des personnes sélectionnées pour leur intégrité soient confrontées à des choix cornéliens dans des situations, où pour des raisons dites de « sécurité nationale », on leur demande de violer des principes qu’elles s’attachent à défendre, comme, par exemple, enfreindre la loi ou les règles du service de manière systématique. Elles peuvent alors soit être loyales envers leur service et exécuter les ordres, soit changer d’affectation ou quitter le service, soit « trahir ». Il est possible, voire probable que Snowden ait eu à faire ce choix après avoir constaté les violations multiples et répétées des droits de ses concitoyens et l’illégalité d’une partie des interceptions de la NSA (et d’autres agences).

Le général Alexander, maintenant ancien directeur de la NSA, a nié de manière constante les accusations concernant l’illégalité des interceptions. Il récemment reçu le soutien de l’amiral McConnell, directeur de la NSA de 1992 à 1996, qui a lui aussi nié toute activitéillégale de l’Agence sur le territoire des Etats-Unis38.

Malheureusement pour eux, les documents de Snowden semblent les contredire, et plutôt de manière convaincante. Pire encore, les révélations de Russell Tice39, un autre lanceur d’alerte ayant travaillé pour la NSA pendant 20 ans, tendraient à démontrer que la NSAa espionné, pour son propre compte ou pour le pouvoir en place, nombre de personnalités politiques y compris Barack Obama, Hillary Clinton, Colin Powell ou encore le général Petraeus, un juge de la Cour Suprême, des ONG ou des entreprises.

Comble de l’ironie pour l’Agence, un prix Pulitzer, principale récompense décernée au travail de journalistes américains, a consacré le lundi 14 avril 2014, l’édition américaine du Guardian et du Washington Post sur les révélations de Snowden.

Pour conclure sur ces épisodes en partie mis à jour par Snowden, il ne faut pas se tromper sur la lecture des évènements : fluctat nec mergitur. Si le navire de la NSA tangue, il sait tenir la haute mer. Comme tous les services dignes de ce nom, la NSA possède au moins deux choses qui lui serviront à continuer d’occuper la place qui est la sienne, à savoir être l’Agence SIGINT la plus puissante du monde, et à poursuivre sa mission : l’excellence dans le savoir-faire, qui s’accompagne de résultats, et des dossiers. C’est en puisant dans ces derniers que l’Agence va très probablement calmer les ardeurs de ceux qui veulent restreindre ses activités par la loi. Il lui faut sans doute juste un peu de temps pour faire comprendre à ses interlocuteurs où est leur intérêt.

Les dommages collatéraux, pour reprendre le jargon militaire, sont très importants. Sur le plan opérationnel, seule la NSA peut les estimer40, mais sur le plan de l’image de l’Agence et de la « confiance numérique » dans les produits informatiques et Internet, les dégâts sont très importants. Ses connexions avec l’industrie informatique américaine ont des répercussions dans le monde entier et il a sans doute des opportunités pour l’industrie européenne, malheureusement pas très bien armée, d’augmenter sa visibilité et ses parts de marché.

Il faut aussi mettre en perspective les agissements de la NSA avec d’autres problèmes qui sapent la confiance numérique : le premier est le faible niveau de la sécurité des systèmes d’informations qui constituent le « cyber-espace ». S’il est indéniable que la NSA fait beaucoup pour exploiter les vulnérabilités de ces systèmes, et elle est dans son rôle, sa tâche est largement facilitée par l’incurie de l’industrie comme le montrent les nombreuses failles découvertes chaque jour dans les produits et les protocoles. La saga de SSL est en cela exemplaire mais elle n’est que l’arbre qui cache la forêt. Le deuxième problème est le peu de considération en matière de protection de la part des entreprises pour les données qu’elles collectent via leur site Internet. La CNIL effectue régulièrement des rappels à l’ordre et va parfois jusqu’à prononcer des sanctions contre les plus négligentes, mais malgré un cadre réglementaire européen pourtant assez riche, la prise de conscience est lente41.

Pour les citoyens, des questions assez basiques se posent : y-a-t-il des produits de confiance ou non-implantés par la NSA, le GCHQ, les Chinois, les Russes, les Israéliens ou d’autres pays plus discrets sur le sujet ? L’Internet est infesté de botnets contrôlés par des hackers mais aussi par les « services » : peut-on encore s’y risquer, ou bien, comme le pense Snowden, est-ce la fin de la vie privée ?

 

1/ Prononcer sipeurnet, un réseau classé secret du DoD américain. 
2/ National Security Agency. 
3/ National Institute of Standards and Technology : un organisme ayant compétence pour tous les standards fédéraux, bien au-delà du secteur de l’informatique et des télécoms. 
4/ La NSA a la responsabilité des « standards » et des mesures de protection pour le domaine classifié. 
5/ On parlerait plutôt de table ou de tableau en français. Ces tables servent à introduire de la « confusion » selon le terme de Shannon (cette confusion se traduit par un certain nombre de propriétés). 
6/ Il faudra attendre 1994 pour que l’un des développeurs du DES, Don Coppersmith, les dévoile.

7/ Les guillemets sur des mots comme « découvre » ou « invente » sont mis pour signaler que le terme est sans doute impropre et que la découverte ou l’invention était jusqu’alors classifiée et par conséquent pas dans le domaine public. Ça n’enlève strictement rien au travail, souvent brillant, effectué par les chercheurs qui n’avaient ni les moyens ni l’antériorité des services spécialisés. 
8/ Government Communications Headquarters 
9/ Sans aucun lien apparent mais la même année, Robert Tappan Morris lâche le ver qui portera son nom sur Internet. Pour l’anecdote, le père de Morris est un scientifique de la NSA. 
10/ SIGnal INTelligence, renseignement d’origine électro-magnétique en français mais dont le spectre (!) est plus large chez les anglo-saxons. 
11/ Communications Security Establishment. 
12/ Defence Security Directorate. 
13/ Government Communications Security Bureau. 
14/ Certains organismes ont changé de nom depuis. 
15/ La France rêvait de faire partie des FIVES EYES et elle se consolera en entrant dans les NINE EYES, un cercle d’amis plus proche que celui des FOURTEEN EYES. 
16/ L’algorithme sera déclassifié en 1998 et cryptanalysé dans la foulée. A ce jour, aucune attaque ne remet en cause la force de l’algorithme dans sa version complète (80 bits de clé et 32 tours). 
17/ Elle est pourtant aujourd’hui encore probablement toujours la deuxième agence de ce type par les moyens parmi celles des pays de l’OTAN, voire au niveau mondial compte tenu de sa co-gestion de certaines ressources avec la NSA. 
18/ Elle réclame d’ailleurs le droit, controversé, d’invention de la cryptographie à clé publique. 
19/ Chacun sait que les autres segments du réseau sont en clair, sans doute parce que les « services » avaient « anticipé » le CALEA et les lois similaires dans les pays de l’Union Européenne. 
20/ L’algorithme sera alors cryptanalysé dans toutes ses versions et apparaîtra comme très faible. 
21/ Communications Electronics Security Group, est une division du GCHQ comme l’Information Assurance Directorate (IAD) de la NSA. Ces services sont les homologues de l’ANSSI mais sont sous le même management que le SIGINT.

22/ On appliquera utilement la loi de Moore aux processeurs et à la mémoire pour avoir une estimation basse de la capacité de ces mêmes services en 2014. 
23/ En particulier, les services de contre-espionnage qui n’ont pour la plupart aucune capacité en matière de cryptanalyse, sont inquiets quant à la prolifération cryptographique. 
24/ Cependant, RSA est aussi très lent par rapport aux algorithmes symétriques, ce qui va fortement réduire son utilisation pour le chiffrement des données. On se contentera de chiffrer des clés, ce qui permettra de les distribuer à grande échelle et de résoudre un problème vieux comme la cryptographie. 
25/ Le livre sera corrigé juste avant sa parution. 
26/ Selon la propre nomenclature de Cray. 
27/ Il n’y a aucune raison objective pour que la situation soit différente en 2014. 
28/ Le musée de la NSA permet de se faire une bonne idée des moyens de cette période avec un Cray-2 et une « connection machine » en exposition. 
29/ [1] La signification exacte du sigle n’est pas confirmée et le fait qu’ANT soit une entité propre ou un simple nom de catalogue de produit n’est pas clair.

30/ C’est en tout cas ce qu’ils cherchent à faire croire à l’époque. 
31/ Elle recommandera d’ailleurs Rijndael, développé par des anciens de l’université catholique de Louvain (la KUL, à ne pas confondre avec l’UCL de Louvain-la-Neuve, née de la scission en 1969), en Belgique. 
32/
https://www.schneier.com/paper-ipsec.html, un rapport assez critique mais contenant d’intéressantes propositions. 
33/ L’OTAN possède une agence d’évaluation appelée SECAN. Cette agence est entièrement financée par la NSA et se trouve dans ses locaux. Elle n’a que deux ou trois permanents et utilise des ressources de la NSA pour ses évaluations. Chargée de donner un avis sur le niveau de sécurité des équipements de chiffrement utilisés par l’Alliance, SECAN a un accès privilégié et unique à tous les équipements soumis par les Etats membres. L’OTAN « possède » une autre agence pour la gestion des clés de chiffrement : DACAN. DACAN est aussi entièrement financée par la NSA, qui a donc potentiellement accès à toutes les communications de l’OTAN, en clair. 
34/ La NSA ne s’occupe que de moyens « techniques », d’autres moyens sont mis en œuvre par des agences dont c’est le métier. 
35/ En référence au périphérique de Washington, autour duquel sont agglutinées ces sociétés. 
36/ A priori la NSA et son homologue israélienne, l’Unité 8200. 
37/ Cette action s’inscrirait dans le cadre d’un programme appelé « Olympic Games » lancé par l’Administration Bush et poursuivi par l’Administration Obama.
38/ Le fait d’avouer les expose probablement à des poursuites judiciaires compte tenu du caractère illégal présumé de certaines activités. 
39/
http://www.huffingtonpost.com/tag/russell-tice/ 
40/ Il y a fort à parier que de nombreuses cibles présumées de la NSA ont changé leurs habitudes de communication. 
41/ Une étude réalisée en France, en Espagne, au Benelux, en Italie, au Royaume-Uni, au Japon, en Australie et aux Etats-Unis, par le cabinet Vanson Bourne montre que 20% des entreprises ne masquent ni ne protègent les données confidentielles en phase de de test.



 

L’auteur


Bernard 
Roussely est ingénieur de l’armement. Il a occupé diverses fonctions techniques et de management pendant 20 ans au sein de l’Etat et d’agences internationales au sein de l’OTAN ou de l’UE, avant de fonder sa société de conseil encybersécurité. Il se consacre maintenant au développement d’applications à base de cryptographie.

Cyberens bernard.roussely@cyberens.com www.cyberens.fr

 

434 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Articles Revue TELECOM

ChangeNOW 2020 #196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril

Articles Revue TELECOM

How to Make a Difference : de l’importance d’un engagement étudiant pour aborder les enjeux du développement durable #196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril

Articles Revue TELECOM

Ampère, le savant à l’origine de l’électromagnétisme - Actu des alumni #196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril