RSA demande à ses clients de ne plus utiliser un de ses algorithmes de cryptage altéré par la NSA
Sécurité : L'éditeur a alerté ses clients en leur déconseillant un algorithme qui risque d'avoir délibérément été affaibli pour laisser à l'agence de renseignement tout loisir de passer outre le cryptage.
RSA raconte à ses clients des développeurs: Arrêtez d'utiliser l'algorithme NSA-Linked !RSA a déclaré que toutes les versions de toolkits RSA BSAFE, y compris toutes les versions de Crypto-C ME, Micro Edition Suite, Crypto-J, Cert-J, SSL-J, Crypto-C, Cert-C, SSL-C ont été touchés.En outre, toutes les versions de serveur RSA Data Protection Manager (DPM) et les clients ont été touchés aussi.
La société a déclaré que «d'assurer un niveau élevé d'assurance dans leur application, RSA recommande fortement aux clients de cesser d'utiliser double DRBG CE et de passer à un autre PRNG." Un produit qui n'est pas affecté par l'algorithme est le système SecurID de RSA, qui fournit une authentification à deux facteurs pour la connexion à des réseaux. Il oblige les utilisateurs à entrer un numéro de code secret affiché sur un porte-clés ou des logiciels, en plus de leur mot de passe lorsqu'ils se connectent à leurs réseaux. Le numéro est cryptographique généré et change toutes les 30 secondes. Mais une source proche de RSA raconte WIRED que ni les jetons SecurID de matériel ou de logiciels utilisent cet algorithme. Au lieu de cela, ils utilisent un générateur de nombres aléatoires certifié FIPS différent.
RSA Security a publié un avis adressé par e-mail jeudi 19 septembre à ses clients, les prévenant que l'algorithme de cryptage proposé par défaut dans un de ses produits contient peut-être un accès dérobé de la NSA, et il leur conseille fortement de ne plus l'utiliser, rapporte Wired.
Adressé à plusieurs milliers des clients de la filiale de sécurité d'EMC, le message les prévient que le générateur aléatoire de nombre de ses logiciels BSafe utilise une formule affaiblie (l'algorithme, appelé Dual Elliptic Curve Deterministic Random Bit Generation, ou Dual EC DRBG, aurait délibérément été affaibli par la NSA – bien qu'il ait été approuvé par le National Institute of Standards and Technology (NIST), puis par l'ISO, l'Organisation internationale de normalisation, souligne ArsTechnica.
Une nouvelle suite des révélations PRISM/Snowden
RSA conseille de changer pour une des autres formules intégrées dans son logiciel. Cette annonce de l'éditeur fait suite aux révélations du Guardian et du New York Times, grâce aux documents transmis par le lanceur d'alerte Edward Snowden, sur le fait que l'agence américaine de renseignement aurait cassé la plupart des systèmes de chiffrement sur Internet.
En 2011, une intrusion informatique avait permis de dérober chez RSA des données sensibles relatives à sa solution d’authentification SecurID. L'éditeur avait prévenu ses clients – 40 millions étaient potentiellement concernés -, ce qui n'avait pas empêché la société d'armement Lockheed Martin d'être à son tour piratée grâce aux données volées.
Aucun commentaire:
Publier un commentaire
A l'envers c'est a l'endroit ,.........vous vous en appercevrez a un moment donné !