Les campagnes d’intimidation ne paient pas toujours, comme vient de l’apprendre à ses dépens la National Security Agency (NSA), avec le rejet, pour la troisième fois, de ses systèmes de chiffrement Simon et Speck (29192-2/AMD1), par l’Organisation internationale de normalisation (ISO).
Simon et Speck ont été conçus pour la sécurisation des objets connectés de l’IoT, et de leurs communications, c’est-à-dire optimisés pour des appareils avec des ressources limitées en mémoire et en puissance.
Ils ont été développés en 2013, et soumis pour la première fois à l’ISO en 2016. L’adoption par l’ISO faciliterait la commercialisation de matériels exploitant ces techniques cryptographiques par les entreprises qui vendent au gouvernement américain, ce qui serait l’objectif de l’agence de renseignement. La NSA affirme qu’ils sont sûrs.
Au départ, la NSA avait présenté un ensemble plus complet de technologies de cryptographie. Les délégués des autres pays ont exprimé leur méfiance, suite aux révélations du dénonciateur Edward Snowden.
La NSA a infiltré le normalisateur américain NIST et saboté ses efforts de standardisation.Elle a soutenu l’algorithme Dual EC DRBG, et aurait payé l’entreprise RSA pour l’inclure dans ses solutions de sécurité, alors qu’elle connaissant ses failles. La NSA est également suspectée d’être à l’origine de la faiblesse du protocole de sécurité WEP du Wi-Fi.
Les experts de l’ISO craignaient donc que la NSA promeuve des algorithmes de cryptographie avec des portes dérobées, ou qu’elle savait contourner. La NSA a alors proposé une version allégée de ses outils, en ne conservant que les deux les plus puissants: Simon et Speck.
Ces dernières semaines, les experts internationaux ont reproché à l’agence de renseignement de ne pas fournir les détails techniques qui sont habituellement fournis lors du processus de normalisation.
En particulier, les caractéristiques d’un outil de cryptographie sont toujours accompagnées d’une analyse de sécurité et de l’explication des décisions de sa conception, ce qui n’est toujours pas le cas, quatre ans après, pour Simon et Speck.
Même l’expert d’Israël, une nation pourtant très proche des États-Unis sur les plans du renseignement et militaire, a ouvertement exprimé sa méfiance.
Les réunions de l’ISO sont confidentielles, mais certains participants ont fini par s’exprimer.
Tomer Ashur, l’expert belge, de l’Université KU Leuven, a expliqué après le rejet de la proposition, que la NSA avait attaqué personnellement les experts qui étaient contre sa proposition, en les présentant comme incompétents, et qu’au lieu de chercher à établir un consensus, elle a mené une campagne d’intimidation.
Pour paraphraser Donald Trump sur Twitter : « No good and will not be accepted! »