Le NIST, National Institute of Standards and Technology, évite le ridicule absolu en supprimant enfin officiellement le générateur de nombres pseudo-aléatoires Dual_EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generator) de sa liste de recommandations.
En décembre 2013, on apprenait que RSA, dont les produits de sécurité sont parmi les plus utilisés au monde, avait touché 10 millions de dollars de la NSA pour placer cet algorithme au cœur de son offre BSAFE. RSA reconnaît avoir touché cette somme mais nie avoir sciemment affaibli son produit.
Les nombres aléatoires jouent un rôle crucial dans le chiffrement. S’il est impossible de générer des nombres purement aléatoires, on cherche des algorithmes qui s’en rapprochent le plus.
Si les nombres ne sont pas aléatoires, le chiffrement devient facile à décoder.
Grâce au dénonciateur Edward Snowden, on sait que la NSA dépense 250 millions de dollars par an pour influencer les technologies de sécurité.
Ils infiltrent les organisations de standardisation comme la NIST pour promouvoir des procédés compromis en éditant les standards de sécurité.
En 2006 déjà, Berry Schoenmakers et Andrey Sidorenko du département mathématiques et informatique de la TU Eindhoven mettaient en question l’efficacité de Dual_EC_DRBG.
En février 2007, Daniel R. L. Brown (Certicom Research) et Kristian Gjøsteen (département mathématiques de l’université de science et de technique de la Norvège), montraient que dans certaines conditions, l’algorithme était faible.
Plus tard en 2007, Dan Shumow et Niels Ferguson de Microsoft émettaient ouvertement l’hypothèse d’une porte dérobée introduite par le concepteur de l’algorithme.