احمدي نجاد
مرحبا بك
عدد الرسائل : 84
تاريخ التسجيل : 11/04/2010
وســــــــــام النشــــــــــــــاط : 2
 | | Seul la NSA peut écouter, alors c'est OK | |
Seul la NSA peut écouter, alors c'est OK
- La version pour exportation de Lotus Notes fournit une porte arrière à la NSA.
Le géant américain des logiciels, Lotus, a minimisé l'impact des informations concernant comment ils ont installés une porte arrière NSA - seulement dans leurs systèmes de courriel et de conférence utilisé par plusieurs gouvernements Européen, incluant la Ministère de la Défense Allemande, le Ministère Français de l'Éducation et de la Recherche et le Ministère de l'Éducation de la Lettonie.
 La semaine dernière à Bruxelles, Lotus a tenu un "Forum de Gouvernements Globaux" ("Global Governement Forum") prodigué pour essayer de gagner de nouveaux clients gouvernementaux pour ses logiciels. Ils ont réussi en signant un contrat de 500 000 usagers avec le Ministère Russe de l'Éducation Supérieure et Professionnelle pour le développement d'une nouvelle infrastructure de l'information pour le système scolaire Russe. Aussi, une autre conférence, Lotus Eurosphere '99, se tiendra à Berlin en octobre.
Lotus clame que ses systèmes sont de par leur nature plus sécuritaires que ceux de leur principal rival, Microsoft. Toutefois, même si certains détails sur le fonctionnement de la porte arrière peuvent toujours être trouvés dans certains recoins du Web (voir "IBM Redbook" page 80), la documentation technique importante et les articles de la presse qui révèlent comment Lotus a travaillé avec la NSA pour construire une porte arrière spéciale dans l'Édition Internationale de Lotus Notes ont disparus de la toile.
Les visiteurs des pages de sécurité sur le site Web de Lotus sont maintenant avertis que la version d'exportation de Lotus Notes utilise "un système approuvé par le gouvernement Américain appelé "Workgroup Differential" qui "encrypte l'information en utilisant une clé de 64 bits".
Le nom "Workgroup Differential" est sans signification. Le titre correct est "Facteur de Travail Différentiel de Cryptographie" ("Differential Workfactor Cryptography"). Le "facteur de travail différentiel" indique que la NSA Américaine peut craquer le code des messages privés de Lotus Notes 16 millions de fois plus vite que n'importe qui d'autre.
La façon dont le "Facteur Différentiel de Cryptographie" fonctionne a été révélé par Lotus eux-mêmes il y a trois ans. Même si les documents en question ont disparus du Web, Telepolis en a obtenu des copies.
Dans un discours important à la Conférence de Sécurité des Données de la RSA, le 17 janvier 1996, Ray Ozzie, président des ingénieurs d'Iris Associates, sous-traitant de Lotus, a révélé comment Lotus était venu à s'entendre sur les contrôles d'exportation avec le gouvernement Américain, qui interdit l'exportation de systèmes cryptographiques ayant une longueur de clé supérieure à 40 bits.
Il a révélé que personne ne percevait cela comme sécure :
"Nos clients ont perdu confiance dans la crypto à 40 bits. Ils nous disent que, si nous continuons à vendre Lotus Notes 40-bits outre-mer, nous devrions arrêter de le vendre comme un système sécure - que nous devrions commencer à l'appeler "mélange de données" ou "masquage de données" plutôt que encryption."
La réponse de Lotus fut un système qui laisse la NSA lire facilement les courriels des utilisateurs étrangers, tout en augmentant la sécurité contre tout autre source d'espionnage. Dans un document distribué à la conférence du RSA, le responsable des projets de sécurité, Charles Kaufman, a expliqué en détail le fonctionnement du système.
Lors de l'envoi d'un courriel, Lotus utilise une clé de 64 bits. Mais dans les éditions pour l'exportation, 24 bits de la clé sont envoyés avec le message, réduisant ainsi la longueur efficace de la clé à 40 bits. Les 24 bits sont encryptés en utilisant une clé publique crée par la NSA. Ceci est appelé le "Champ de Réduction du Facteur de Travail" ("Workfactor Reduction Field"). Seul la NSA peut décrypter l'information contenue dans ce champ de réduction du facteur de travail. Une fois que la longueur de clé est réduite à 40 bits, les ordinateurs modernes rapides peuvent craquer le code en quelques secondes ou minutes.
 Seuls les Américains pouvaient penser que c'était un avantage pour le système Lotus. En 1996, Kaufman à aussi révélé que Notes devrait être sécurisé davantage pour empêcher les utilisateurs de simplement supprimer le code de la NSA à être envoyé avec les messages. Pour empêcher les utilisateurs étrangers de contourner l'utilisation du champ de réduction du facteur de travail, l'Édition Internationale de Lotus Notes refusera de déchiffrer tous les messages ne contenant pas le champ correct. De vérifier cela signifie que la clé entière du message doit être envoyé dans la transmission. Le logiciel du destinataire vérifie ensuite que le champ de réduction du facteur de travail est présent et correct. Le fait même que la clé complète soit envoyé avec le message crée la possibilité d'une deuxième porte arrière, réduisant davantage la sécurité.
Depuis que ces documents ont été présentés ouvertement, les gouvernements Européens ont été conscientisés à l'énorme proportion d'écoute des communications par la NSA, et par le réseau Echelon en particulier. La faille dans Lotus Notes a fait la une des journaux suisses en novembre 1997. Même si la compagnie n'a pas démenti les allégations, elle a déclaré que le gouvernement Américain ne les utiliserait pas à mauvais escient.
Depuis l'affaire en Suisse, Lotus et la RSA ont tous deux enlevé les documents de 1996 de leurs sites web. Un autre employé de Lotus a déclaré "nous n'avons pas diminué la sécurité de l'encryption internationale, mais l'avons rétablie à égalité avec la sécurité américaine" (pour tous sauf la NSA). "Nous sommes fiers de cet arrangement."
Seuls les Américains pouvaient penser que c'était un avantage pour les systèmes Lotus. Dans une perspective Européenne, la plus grande menace est l'espionnage politique et économique par la NSA. Avec Lotus déterminé à agrandir son marché en Europe, de sérieuses questions devraient être soulevées à savoir si les usagers se font dire toute la vérité à propos de la sécurité.
| |
|
الأحداث 
المنشورات