Fronde d’intervenants contre la RSA Conference
Au moins dix experts en sécurité ont renoncé à intervenir lors de la prochaine édition de la RSA Conference, fin février, à San Francisco, après une révélation controversée selon laquelle RSA aurait accepté, moyennant finances, d’aider la NSA.
Selon une dépêche Reuters de fin décembre, RSA aurait conclu un accord avec la NSA, moyennant 10 M$, afin d’assurer que l’algorithme de génération de nombres aléatoires utilisé par défaut dans la librairie Bsafe, serait le Dual EC DRBG élaboré par le NIST, celui soupçonné d’avoir été compromis par l’agence. Un algorithme dont l’organisme chargé de valider les standards technologiques a plus tôt recommandé d’abandonner l’usage, suivi en cela par RSA.
Deux jours plus tard, RSA n’a pas manqué de réagir, démentant « catégoriquement cette allégation ». La filiale d’EMC a alors expliqué pourquoi Dual EC DRBG a été retenu comme algorithme par défaut en 2004 : « dans un contexte d’effort, à l’échelle de l’industrie, pour développer de nouvelles méthodes de chiffrement plus robustes. A cette époque, la NSA jouait un rôle de confiance » dans ces efforts : « les utilisateurs ont toujours été libres de choisir [l’algorithme] répondant le mieux à leurs besoins » ; « nous avons continué d’utiliser cet algorithme comme une option de Bsafe […] en raison de sa valeur pour la conformité FIPS ». Et de renvoyer à la responsabilité du NIST, comme arbitre du débat.
Mais cela n’a pas suffi à éteindre les braises d’un incendie naissant, aussitôt attisées par Mikko Hypponen, directeur de recherche de F-Secure. Dans une lettre ouverte, il a pris ouvertement position, annulant son intervention programmée à la RSA Conference qui se déroulera fin février à San Francisco - mais qui n’est pas organisée par RSA. Pour lui, la réaction publique de RSA ne constitue pas une dénégation claire des affirmations de Reuters. Et d’ajouter que F-Secure n’interviendra, ne sponsorisera pas, ni n’exposera lors de la RSA Conference.
Depuis, environ une dizaine d’experts en sécurité se sont joints à ce mouvement de protection. Robert Graham, d’Errata Security, en tient la liste sur son blog, dans un billet où il explique « pourquoi nous devons boycotter RSA ». Pour lui, « RSA a été pris à installer une porte dérobée dans Bsafe. Si personne ne semble s’en préoccuper, si RSA n’en supporte pas les conséquences, alors rien n’arrêtera d’autres entreprises de suivre le mouvement ».
De son côté, l’analyste Dave Kearns explique, dans les colonnes de nos confrères d’InformationWeek, avoir renoncé à son intervention en raison des soupçons pesant sur RSA, parce que son communiqué « ne dément pas avoir reçu 10 M$ de la NSA » et que « Reuters assure que la NSA a utilisé le fait que RSA ait choisi son algorithme comme algorithme par défaut pour convaincre le NIST d’en faire autant ».
De son côté, l’Open Web Application Security Project a ouvert un sondage (https://www.owasp.org/index.php/Polls) pour déterminer si oui ou non elle devait assurer des formations pour les développeurs à l’occasion de l’événement.
