La cryptographie est, à nouveau, au centre d’une polémique. Selon Andrew Fernandes, de la société Cryptonym, les systèmes d’exploitation Windows (95, 98, NT 4 et la RC1 de Windows 2000) présenteraient une porte dérobée permettant à la NSA (National Security Agency) d’avoir accès aux informations cryptées sur une machine sans que l’utilisateur en soit informé. Microsoft nie ces allégations. Toute l’histoire se joue au c?”ur de l’API de cryptographie des systèmes d’exploitation de Microsoft. Windows impose bien l’utilisation d’une clé, appelée Key, pour que les logiciels de cryptographie puissent fonctionner. Mais Andrew Fernandes assure qu’une seconde clé, _NSAKEY, est également présente.
Microsoft s’explique… trop
Cette clé a été découverte après que Microsoft a oublié de retirer les éléments de débogage symboliques du Service Pack 5 de Windows NT 4. L’éditeur ne dément pas son existence, mais ne parvient pas à l’expliquer logiquement. Dans un premier temps, il s’est contenté d’expliquer que cette _NSAKEY était une clé de secours. Cette théorie ne résiste pas à l’analyse puisque, en cas de perte de la première clef, l’API de cryptographie de Windows ne fonctionnerait plus. Face à la levée de boucliers que cette pseudo-explication a soulevée, l’éditeur a ensuite affirmé que l’appellation _NSAKEY est destinée à montrer la conformité du produit aux obligations imposées par la sécurité nationale. Une sorte de label. “Cette clé n’est absolument pas accessible au gouvernement”, explique un porte-parole de Microsoft. Questionné à ce sujet, la NSA s’est contentée de renvoyer les curieux vers Microsoft.
Néanmoins, un bug dans l’implémentation de la vérification des composants cryptographiques de Windows permet de retirer la clé liée à la NSA sans affecter le fonctionnement de l’API. Le site de Cryptonym propose ainsi un logiciel gratuit éliminant cette fameuse _NSAKEY sans toucher aux composants internes de Windows.Le soupçon récurrent de collaboration entre les agences de sécurité du gouvernement et les éditeurs américains de logiciels trouve ici un nouveau motif. Il sera toujours difficile, du fait même du sujet, de confirmer ou d’infirmer cette collaboration. Dans le cas présent, sachant que l’exportation des technologies de cryptage est soigneusement réglementée aux États-Unis et que l’organisme qui s’en occupe n’est autre que… la NSA, le doute est légitime.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.