Des milliers de sites internet auraient été fragilisés par une faille informatique résultant de faibles normes de cryptage, mises en place dans les années 90 pour permettre à l’agence américaine du renseignement NSA d’espionner les communications étrangères, selon une étude publiée mardi.
La faille proviendrait de normes de cryptage imposées par le gouvernement américain sur les logiciels destinés à l’exportation. (Photos : AFP)
La faille, surnommée « FREAK », pourrait rendre ces sites vulnérables – y compris des sites administrés par le FBI et la NSA – aux attaques de pirates informatiques si le problème n’est pas réglé, selon cette étude menée par des chercheurs français et américains. La faille provient d’une « suite de codes à complexité délibérément faible (…) mis en place sous la pression du gouvernement américain pour s’assurer que la NSA soit capable de décrypter toutes les communications étrangères », expliquent les chercheurs.
Selon les chercheurs, cette faille provient de normes de cryptage imposées par le gouvernement américain sur les logiciels destinés à l’exportation. Le but, selon eux, était de permettre aux Etats-Unis d’avoir accès à ces logiciels quand ils étaient vendus à des pays hostiles. Or même après le renforcement des règles de cryptage, certains logiciels voués à l’exportation ont continué à être régulés selon les précédentes normes. « La faille est importante en soi, mais c’est surtout un bon exemple de ce qui peut se passer quand un gouvernement instaure des règles trop faibles pour des systèmes de sécurité » informatique, estime Ed Felten, professeur de sciences informatiques à l’université de Princeton.
La brèche a été découverte par les équipes de Karthikeyan Bhargavan en France à l’Institut national de recherche informatique et en automatique (Inria) et de Matthew Green aux Etats-Unis, un cryptographe à l’université de Johns Hopkins, dans le Maryland (est). La vulnérabilité du site de la NSA elle-même « ne pose pas de problème de sécurité nationale en soi parce que la NSA ne livre pas ses secrets d’Etat sur son site. Mais il s’agit d’une importante leçon sur les conséquences que peuvent engendrer des décisions politiques en matière de cryptage ». La fonction de l’option « j’aime » sur Facebook a été identifiée comme vulnérable mais la faille a depuis été réparée.
« La morale de cette histoire est assez simple : le cryptage mis en place par des portes dérobées se retournera toujours contre vous pour vous mordre la fesse », estime Matthew Green.
AFP