La National Security Agency (NSA) américaine aurait payé 10 millions de dollars au vendeur de la solution de chiffrement RSA. Selon l'agence Reuters, « le contrat tenu secret consistait à intégrer un algorithme de chiffrement délibérément erroné dans un logiciel de sécurité largement utilisé ». L'information relance aussi la controverse sur l'implication du gouvernement américain pour influencer les normes de cryptographie. « Le contrat est lié à la campagne menée par la NSA pour affaiblir les normes de chiffrement et faciliter le travail des programmes de surveillance », a déclaré vendredi l'agence de presse londonienne.

L'information, basée sur deux sources proches du dossier, a déclenché une série de réactions dans la presse américaine. La nouvelle alimente encore un peu plus le débat en cours sur les méthodes de surveillance de la NSA. L'agence de sécurité américaine a décliné la demande de commentaires. RSA Security, propriété depuis 2006 du spécialiste du stockage et des logiciels d'entreprise EMC n'a pas réagi dans un premier temps avant de déclarer qu'elle contestait ces informations. Dans un communiqué, la firme explique, « nous avons travaillé avec la NSA, à la fois comme un fournisseur et un membre actif de la communauté de sécurité. Nous n'avons jamais gardé cette relation secrète et, en fait, a été largement médiatisée. Notre objectif explicite a toujours été de renforcer la sécurité du commerce et celle du gouvernement ». Elle ajoute « nous n'avons jamais conclu de contrat ou participé à un projet avec l'intention d'affaiblir les produits de RSA, ou introduisant des« portes dérobées » potentiels dans nos produits ».

Des indices dans les révélations d'Edward Snowden

Déjà, au mois de septembre, des articles parus dans ProPublica, le Guardian et le New York Times avaient révélé que depuis plusieurs années, la NSA faisait pression pour affaiblir les normes de sécurité afin de faciliter le travail des programmes de surveillance à grande échelle du gouvernement américain. Ces informations avaient été extraites de documents divulgués par l'ancien consultant de la NSA, Edward Snowden. Ces articles précisaient qu'un générateur cryptographique binaire aléatoire connu sous le nom de « Dual Elliptic Curve Deterministic Random Bit Generator ou Dual EC DRBG » avait été délibérément trafiqué par des cryptographes de la NSA. Leur objectif était de développer et de promulguer des normes qui permettraient la création de « portes dérobées » dans les produits de sécurité.

Selon l'article de Reuters, « RSA Security a accepté des financements « secrets » de la NSA pour incorporer la technologie Dual EC DRBG dans sa boîte à outils BSafe » très utilisé dans le commerce électronique, et plus généralement pour échanger des données confidentielles sur Internet. D'autres contrats commerciaux entre la NSA et RSA sont de notoriété publique. En mars 2006, RSA avait annoncé que l'agence de sécurité nationale américaine avait choisi son logiciel de cryptage BSafe pour « un projet de communication classifié ». À l'époque, le montant de la transaction n'avait pas été révélé. « Le logiciel BSafe Crypto-C ME de RSA Security répond aux exigences de chiffrement Suite B de la la National Security Agency (NSA) », avait simplement déclaré le vendeur. « Présenté lors de la RSA Conference 2005, Suite B est un ensemble d'algorithmes cryptographiques courant. La suite est exploitée par des industries technologiques pour créer des solutions qui répondent aux besoins de sécurité des agences du gouvernement fédéral américain ».