A lire sur: http://www.zdnet.fr/actualites/la-nsa-garde-les-standards-de-chiffrement-a-l-oeil-39796876.htm
Sécurité : Malgré l'appel d'ingénieurs en sécurité pour l'éviction d'un employé de la NSA de la tête du groupe de travail sur le chiffrement de l'IETF, celui-ci restera en place.
En décembre 2013, des experts en sécurité avaient tiré le signal d'alarme. Kevin Igoe, co-président du Crypto Forum Research Group (CFRG), le groupe de travail de l'Internet Engineering Task Force (IETF) en charge des standards de chiffrement, devait être limogé. Son tort ? Être un employé de la NSA, plutôt mal vu depuis les révélations de Snowden.
A l'origine de cette demande, on trouve évidemment la tentative de l'agence de renseignement de contourner les méthodes de chiffrement... voire d'insérer des portes dérobées dans les standards pour pouvoir manipuler à loisir les donnés chiffrées. La NSA, évidemment, joue à la "No Such Agency" et nie son implication.
"Un peu plus que des secrétaires"
Reste que la présence depuis 2011, au sein du CFRG, d'un responsable du Commercial Solutions Center de la NSA, fait mauvais genre. Car le CFRG est le groupe en charge des guides de bonnes pratiques des autres divisions de l'IETF, à l'origine de la standardisation de nombreuses technologies de l'Internet.
D'autant que Kevin Igoe est directement accusé par certains d'avoir émis des suggestions techniques "en vue d'affaiblir les propriétés cryptographiques de Dragonfly", un protocole d'échange de clés couramment utilisé dans les méthodes de chiffrement. Il aurait également "mal représenté" l'opinion du CFRG auprès du groupe de travail de l'IETF sur le protocole TLS.
Dans un email envoyé par Lars Eggert, président de l'Internet Research Task Force (IRTF, qui gère les postes à l'IETF), on apprend cependant que la demande des spécialistes de la sécurité a été rejeté. Plusieurs raisons motivent cette décision, notamment le risque de créer un précédent qui conduirait à démettre de leurs fonctions tous les employés de la NSA.
Ensuite, Lars Eggert estime que les co-présidents de groupes sont "un peu plus que des secrétaires", avec assez peu de latitude pour influencer les avis techniques transmis aux groupes de l'IETF, note Ars Technica. Il estime ainsi que le processus de travail à l'IRTF, ouvert et transparent, est un garde-fou suffisant contre la possibilité de saboter les standards.
L'IAB appelé à la rescousse
La réponse n'a visiblement pas convaincu Trevor Perrin, à l'origine de l'email demandant le retrait de Kevin Igoe le 20 décembre dernier. Il estime que le pouvoir des co-présidents est important, et que l'IETF ou l'IRTF n'ont pas les moyens de détecter une éventuelle manipulation rendant "la cryptographie difficile à implémenter de manière sécurisée et à déployer largement".
Il admet que sa position est plus politique que purement technique, mais se dit tout de même "déçu". "Nous avons l'occasion d'envoyer un message pour dire que le sabotage des standards de chiffrement est inacceptable et détruit la confiance du public dans ces organisations avec de réelles conséquences. Ou nous pouvons envoyer un message pour dire qu'il n'y a pas de souci."
La réponse de Lars Eggert ne l'a d'ailleurs pas empêché de pousser sa démarche plus avant, allant jusqu'à demander son avis à l'Internet Architecture Board. Ce dernier supervise le complexe organigramme de l'IETF, et est notamment en charge des nominations à la tête de l'IRTF. Il n'a, pour l'heure, pas donné suite à la demande de jugement sur la décision d'Eggert.
Aucun commentaire:
Enregistrer un commentaire