Le chiffrement reste bien le meilleur moyen de protéger les données
Un chiffrement correctement implémenté est difficile à contrer, même par des experts des services secrets américains, disent plusieurs experts en sécurité consultés par NetworkWorld. Bien que la National security agency, NSA, dépense des milliards de dollars pour « craquer » les technologies de chiffrement, les experts en sécurité maintiennent que correctement implémenté, le chiffrement est encore le meilleur moyen pour maintenir une confidentialité en ligne.
Le journal The Guardian et d'autres avec lui ont publié la semaine passée une enquête basée sur des documents internes à la NSA expliquant comment l'agence de renseignement contourne les technologies de chiffrement en utilisant des accès dissimulés, en forçant brutalement le passage, ou bien en utilisant des ordonnances judiciaires, et par des accords avec des fournisseurs de technologies.
L'étude est basée sur des documents qui ont fuité vers des journalistes, grâce à un ancien salarié de la NSA, Edward Snowden. Elle suggère que plusieurs algorithmes de chiffrements maintenant largement utilisés pour protéger les communications en ligne, les comptes bancaires, les dossiers médicaux et des secrets commerciaux ont été « craqués » par la NSA et son équivalent en Grande-Bretagne, le GCHQ (Government Communications Headquarters).
Steve Weis, le directeur technique de PrivateCore, titulaire d'un doctorat en cryptologie du MIT, nous indique que malgré les tentatives de la NSA, les mathématiques utilisées en cryptologie restent très difficiles à résoudre. Il suggère qu'il est probable que la NSA a réussi à percer certaines technologies de chiffrement, mais à l'aide de techniques non sécurisées et datées.
Une norme de chiffrement agréé par le NIST
Par exemple, les documents expliquent que la NSA a bâti un backdoor (accès dissimulé) dans une norme de chiffrement agréé par le NIST (National institute of standards and technology) nommé Dual EC DRBG, qui est utilisé pour générer des nombres aléatoires. Steve Weis a souligné que cette norme Dual EC DRBG a été approuvée pour six ans et a été rarement utilisée depuis que deux ingénieurs de Microsoft ont découvert le backdoor (accès dissimulé) de la NSA.
En fait, il reste difficile de savoir si les experts de la NSA ont la capacité de « craquer » les plus robustes technologies de chiffrement. « Jusqu'ici, explique Steve Weis je n'ai rien vu qui suggère qu'un algorithme comme AES (Advanced encryption standard) a été rompu ».
«S'il est correctement implanté, ce chiffrement apporte une sécurité incassable », explique Dave Anderson, un directeur senior de Voltage Security, fournisseur de technologies de chiffrement.
Un hacker avec un PC de milieu de gamme
«C'est le type même de sécurité qui demanderait des millions d'années à craquer pour un supercalculateur. Mais si elle est négligemment implémentée, si les processus de gestion de la sécurité ne sont pas sains, alors, cette sécurité peut être réduite à un niveau où un hacker avec un PC de milieu de gamme peut la craquer en quelques heures, tout au plus. »
Anderson explique que la NSA n'est peut être pas capable de profiter des failles dans le chiffrement, elle a peut-être profité de processus de chiffrements mal mis en oeuvre.
Dave Jevans, fondateur et directeur technique de Marble Security, un spécialiste des technologies de sécurité pour mobiles, explique que plusieurs des points relevés par les documents de la NSA sont basés sur une mauvaise compréhension des faits.
La principale vulnérabilité est la gestion des clés
«La plupart des e-mails, des recherches sur le web, des chats sur internet et des appels téléphoniques ne sont pas automatique chiffrés, la NSA ou d'autres plus anonymes peuvent simplement analyser le trafic, explique-t-il. La principale vulnérabilité dans ce trafic crypté est la gestion des clés explique Dave Jevans. Elles sont longues, les mots de passe restent aléatoires, voler la clé c'est donc comme voler le mot de passe ».
Les énormes ressources financières et humaines de la NSA lui permettent de contrer efficacement les clés de chiffrement et la gestion des clés, plutôt que de tenter de casser les algorithmes situés derrière le code de chiffrement. C'est un milliard de fois plus efficace. Donc, malgré les récentes révélations, le chiffrement reste le meilleur moyen pour protéger les données en ligne.