PRISM : la NSA serait capable de déchiffrer des communications VPN sécurisées
Et le protocole SSL

Le , par Cedric Chevalier, Expert éminent sénior
Alors que récemment la branche britannique de The Guardian subissait de lourdes pertes (destruction de disques, confiscation des outils personnels de l’ami du journaliste Glenn Greenwald), son éditeur en chef Alan Rusbridger annonçait n'avoir pas baissé les bras. Effectivement, le journal continue les révélations du contenu des documents d’Edward Snowden au public.

Cette fois-ci, The Guardian reporte que, d’après les documents de Snowden, l’agence de sécurité nationale américaine (NSA) serait en mesure de casser les algorithmes de chiffrement les plus utilisés.

Créée en 1952, la NSA a pour objectif principal le décryptage des communications des sources pouvant constituer une menace pour les intérêts des États-Unis.

D’abord utilisé à des fins militaires, le chiffrement a été vulgarisé par la suite, au point que les outils (les clients mails, les navigateurs et bien d’autres) présents dans le domaine public y ont recours systématiquement pour préserver la confidentialité des communications.

Le fait même que la NSA soit en mesure de déchiffrer la plupart des communications utilisant les algorithmes de chiffrement populaires, ne constitue pas en soi un problème, car c’est là sa vocation. Ce que l’on déplore par contre, ce sont les moyens (corruption et actions illégales) employés par l’agence de sécurité pour atteindre son but.

Les documents de Snowden révèlent que la NSA, via un programme de nom de code SIGINT, aurait dépensé en un an un montant de 250 millions de dollars pour l’insertion de « backdoor » au sein des solutions de sécurité logicielle produites par des firmes dont les noms n’ont pas été dévoilés.

Les documents soulignent aussi que la NSA disposerait en interne d’un serveur de clés de chiffrement pour une grande majorité des produits commerciaux disponibles sur Internet, et qu'elle serait capable de déchiffrer les communications protégées par le protocole SSL, ainsi que les VPN.

Jusqu’à quel niveau s’étendent les capacités de la NSA à décrypter les communications sécurisées ? Une chose est sûre, seule une poignée de personnes appartenant au programme « BullRun », cité dans les rapports de Snowden, est habilitée à répondre à cette question.

Source : The Guardian

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Marco46 Marco46 - Modérateur https://www.developpez.com
le 06/09/2013 à 18:45
Citation Envoyé par Cedric Chevalier Voir le message

Les documents soulignent aussi que la NSA disposerait en interne d’un serveur de clés de chiffrement pour une grande majorité des produits commerciaux disponibles sur Internet, et qu'elle serait capable de déchiffrer les communications protégées par le protocole SSL, ainsi que les VPN.
Aaaaah ben voilà

Donc ils n'ont rien cassé du tout mais les autorités de certification et les éditeurs de logiciels leurs transmettent gentiment les clefs

Sont balaise à la NSA, ils arrivent à ouvrir une porte quand on leur donne la bonne clef ...
Avatar de tulipebleu tulipebleu - Membre régulier https://www.developpez.com
le 07/09/2013 à 12:32
Dans l'article, ils disent :

A 10-year NSA program against encryption technologies made a breakthrough in 2010 which made "vast amounts" of data collected through internet cable taps newly "exploitable".
Cela peut être traduit par :
Un programme de la NSA qui a duré 10 ans contre les technologie d'encryptage on fait une percée en 2010 qui ont permit de rendre "une grande quantité" de donnée collecté par les cables d'internet "exploitable"
Grosso modo, ils ont cassé tout ce qui passe en SSL (comptes en banque, email, etc...)

Cela me parait extrêmement grave.

Certe, il va y avoir d'ici quelques années de nouveaux protocoles qui vont être proposés, mais on ne peut plus faire confiance ni dans la NSA, ni dans les entreprises et les institutions américaines.
Avatar de Marco46 Marco46 - Modérateur https://www.developpez.com
le 07/09/2013 à 13:39
Un billet à lire absolument pour bien faire le tour du sujet.
Avatar de Arsene Newman Arsene Newman - Expert éminent sénior https://www.developpez.com
le 08/09/2013 à 11:30
RSA, AES, ..... tout y passe avec la NSA !!!
La seule question que je me pose c'est quel est la puissance de leur serveur ? en même temps je doute que le déchiffrement repose uniquement sur du brute force, certainement que cela repose entre autre sur des failles de sécurité inconnues
Avatar de Lyons Lyons - Membre éclairé https://www.developpez.com
le 08/09/2013 à 13:08
Sachant qu'aux états unis et dans toutes les entreprises basées aux états unis (même dans les filliales situées sur d'autres continents) il est interdit d'utiliser et de créer des moyens de cryptages dont la CIA n'a pas la clé, il aurait fallu être très naïf pour ne pas s'en douter.
Avatar de lirycs78 lirycs78 - Nouveau Candidat au Club https://www.developpez.com
le 08/09/2013 à 15:44
On s'en fout complétement, a moins d'avoir des choses à cacher je vois pas ou est le probléme.
Avatar de Gecko Gecko - Membre éprouvé https://www.developpez.com
le 08/09/2013 à 15:55
Citation Envoyé par lirycs78 Voir le message
On s'en fout complétement, a moins d'avoir des choses à cacher je vois pas ou est le probléme.
Le problème est que partout dans le monde on utilise les standard de cryptage et les softs Américains, que ça soit pour les citoyens ou les états. Si les communications entre états ne sont pas fiables et que tout est intercepté ça veut dire que les dés sont pipés lors de négociations avec les USA, entre autres. Rien que cet aspect là est vraiment aberrant, il sera vraiment temps que l'UE lance des appels d'offres pour la création d'OS et suites logicielles 100% européennes.
Avatar de Zefling Zefling - Membre expert https://www.developpez.com
le 08/09/2013 à 19:45
Citation Envoyé par lirycs78 Voir le message
On s'en fout complétement, a moins d'avoir des choses à cacher je vois pas ou est le probléme.
Accepterais-tu qu'un logiciel viennent aussi constater tout ce qu'il se trouve sur tes disques dur.

Je suppose que si on vient poser des caméras dans ta chambre pour voir tout de tu y fais, ça ne te dérange pas non plus ? Qu'on te pose un micro et une caméra pour être sûr que ce que tu dis ou vois n’enfreint jamais la loi. À près tout, tu n'as rien à cacher.
Avatar de 23JFK 23JFK - Membre expérimenté https://www.developpez.com
le 08/09/2013 à 21:11
Que je sache, le protocole SSL n'est pas prévu pour être inviolable sur le long terme, il doit juste garantir la sécurisation d'une transaction le temps que les opérations deviennent officielles et irréversibles. Après, que l'on puisse décrypter les informations n'a normalement plus d'importance. Par contre, ce serait un vrai problème si le SSL pouvait être décrypté à la volée.
Avatar de lirycs78 lirycs78 - Nouveau Candidat au Club https://www.developpez.com
le 08/09/2013 à 22:09
Accepterais-tu qu'un logiciel viennent aussi constater tout ce qu'il se trouve sur tes disques dur.

Je suppose que si on vient poser des caméras dans ta chambre pour voir tout de tu y fais, ça ne te dérange pas non plus ? Qu'on te pose un micro et une caméra pour être sûr que ce que tu dis ou vois n’enfreint jamais la loi. À près tout, tu n'as rien à cacher.
Aucun rapport, tu es obligé de prendre des exemples extrême qui n'ont aucun sens pour ma part. Je me dis juste que la NSA en surement strictement rien à faire de lire les mails que je peux envoyer à ma famille ou de savoir si je vais sur des sites porno. Faut juste arrêter d'être paranoiaque. Je suis bien content que ce genre de chose existe.

A la limite je suis plus d'accord avec l'avis de Gecko
Contacter le responsable de la rubrique Accueil