- Des agences de surveillance comme la NSA et le GCHQ cherchent à affaiblir la normalisation en faisant passer le chiffrement existant en mode double ECC+PQ à un chiffrement PQ seul
- Ce changement s’articule avec les procédures internes des organismes de normalisation comme le groupe de travail TLS de l’IETF, les budgets militaires et les exigences d’achat des grandes entreprises
- De nombreux experts en sécurité et acteurs de terrain soulignent que le maintien du double chiffrement est le choix de bon sens au regard des menaces réelles et de la possibilité de défauts
- L’adoption d’une norme PQ seule s’accompagne aussi de graves problèmes de procédure, notamment autour des exigences juridiques et procédurales, de la définition du consensus et d’une mauvaise gestion des objections
- Le pouvoir d’achat et l’influence de certaines organisations comme la NSA finissent par normaliser des standards fragiles et accroître les risques pour l’ensemble de l’écosystème de sécurité
Introduction : nécessité du chiffrement double (hybride) et contexte réel
- Le chiffrement post-quantique (PQ) est introduit comme une couche de sécurité supplémentaire au-dessus du chiffrement classique fondé sur l’ECC
- Exemples : Google CECPQ1 (ECC traditionnel X25519 + PQ NewHope1024), CECPQ2 (ECC+NTRUHRSS701), CECPQ2b (ECC+SIKEp434)
- Dans les navigateurs récents, plus de la moitié du trafic selon Cloudflare utilise déjà du PQ, le plus souvent en application simultanée avec l’ECC (mode double)
- Même si le PQ est théoriquement robuste, de nouvelles vulnérabilités ou un effondrement d’algorithmes peuvent survenir ; en pratique, des problèmes sont déjà apparus, comme l’effondrement public de SIKE
- Le double chiffrement joue un rôle de tampon réaliste face aux risques inconnus ou aux défauts, comme une ceinture de sécurité en voiture
Influence et objectifs de la NSA et du GCHQ dans la normalisation
- La NSA et le GCHQ tentent d’affaiblir les standards vers un chiffrement PQ seul (sans hybride), plutôt que vers un double chiffrement ECC+PQ
- Comme avec Dual EC, ils reprennent un raisonnement fallacieux sous prétexte de « renforcer la sécurité », alors que l’objectif réel est d’introduire des vulnérabilités et d’étendre leur influence
- La NSA s’appuie sur les critères d’approvisionnement des réseaux militaires et d’infrastructure nationale pour pousser, via l’exécution budgétaire, les produits et services à adopter le PQ seul
- De grandes entreprises comme Cisco, Google, IBM et Microsoft officialisent ou soutiennent des implémentations de chiffrement PQ seul en réponse aux demandes d’organismes comme la NSA
L’argument du « dogfooding » et la réalité
- La NSA a déjà utilisé lors de l’affaiblissement et de la normalisation du DES (56 bits) un marketing du type « nous utilisons aussi le DES pour les informations nationales » afin de renforcer artificiellement la confiance
- En réalité, elle protégeait les informations importantes avec des approches multicouches comme le Triple-DES
- Aujourd’hui encore, la NSA exploite deux couches de chiffrement indépendantes pour protéger ses données majeures et éviter un point de défaillance unique
Procédure d’adoption des standards et cas de l’IETF
- À l’IETF, un projet de brouillon pour introduire l’hybride (ECC+PQ) dans TLS a été adopté en mars 2025, sans opposition notable
- En revanche, le brouillon PQ seul a suscité de nombreuses critiques d’experts en sécurité sur la sûreté, la charte du WG et l’augmentation de la complexité
- Comme dans le cas de SIKE, si un seul composant casse, toute la sécurité s’effondre
- Le fait que la NSA pilote les achats contrevient au BCP 188 et à l’objectif du WG d’« améliorer la sécurité »
- L’hybride est le choix optimal réaliste, car il augmente la sécurité sans inconvénient pratique significatif
Procédures juridiques/politiques et exigences de consensus
- En droit américain, les organismes de normalisation doivent respecter l’ouverture, l’équilibre des intérêts, le due process, la réponse aux objections et le consensus (concensus)
- Selon la jurisprudence de la Cour suprême et les règles de l’OMB, le « consensus » ne se résume pas à un vote simple : il implique un examen équitable de chaque objection, une information suffisante et un accord véritablement large
- Dans le cas concret de l’IETF, un ratio de 22 voix pour et 7 contre est difficile à considérer comme un consensus général
- Les avis favorables majoritaires au sein de l’IETF étaient très brefs, et les arguments de l’opposition n’ont pas reçu de réponses substantielles ou concrètes, ni de véritable discussion
Résumé des facteurs de risque
- Des institutions très influentes comme la NSA utilisent l’exécution budgétaire et leur participation aux organismes de normalisation pour internaliser des vulnérabilités et créer une dépendance industrielle
- Des échecs antérieurs de normalisation, comme Dual EC ou SIKE, peuvent à nouveau exposer d’importantes faiblesses de sécurité et produire des conséquences catastrophiques
- Alors que le double chiffrement devient de fait la base, l’introduction de standards affaiblis au nom des « économies » ou de la « simplification » pourrait mettre en danger tout l’écosystème
Conclusion et implications
- Il faut renforcer l’équité et la transparence des acteurs de la normalisation et encourager l’adoption du double chiffrement en phase avec les besoins réels du marché
- Il faut rester vigilant face au risque d’affaiblissement de la sécurité de tout l’écosystème provoqué par l’exercice agressif d’influence de la part d’organisations comme la NSA
- Pour diffuser des pratiques avancées capables de réduire les risques, comme la généralisation du double chiffrement, l’attention active des développeurs et des entreprises ainsi que la mise en place de mécanismes de surveillance sont essentielles
1 commentaires
Avis Hacker News
DJB critique régulièrement la position de la NSA depuis 2022 (voir : le billet de blog de DJB). Je suis très surpris qu’on propose réellement de déployer dans des applications réelles des échanges de clés PQ non hybrides. Si ce n’est pas un dispositif conçu pour que la NSA puisse les casser facilement, alors cela revient malgré tout à accorder une confiance énorme à des mécanismes apparus très récemment. La situation ressemble un peu à dire : « puisqu’on sait désormais détecter des virus dans les eaux usées, les hôpitaux n’ont plus besoin de signaler les risques d’épidémie ». C’est encore plus dangereux si les objectifs de certaines personnes sont totalement opposés à ceux de tout le monde. Dans son texte de 2022, DJB soulignait que tout ce que la NSA a fait publiquement, c’est citer « le très petit nombre de cas où l’introduction précipitée de couches de sécurité supplémentaires a causé des problèmes », puis exprimer sa confiance dans le processus PQC du NIST.
Il y a beaucoup d’angles de débat sur ce sujet. A) Les agences gouvernementales cyber ne doivent jamais être considérées comme dignes de confiance. B) La NSA n’est pas du tout ce qu’on imagine ; c’est vraiment un Far West étrange, j’en suis certain par expérience. C) La cryptographie implique bien plus que la simple sécurité ou l’échange de messages ; il arrive même qu’on ignore qu’une chose (éventuellement un être vivant) puisse être déchiffrée. D) La NSA est vraiment, vraiment mesquine, au point d’être une sorte de CIA du numérique, menant des activités d’espionnage cyber partout, dans la tech, les télécoms, chez les fabricants, etc. E) Il ne faut absolument jamais suivre les conseils de la NSA ; leur culture est centrée sur l’exploitation.
Je me demande ce que veut dire « une chose (éventuellement un être vivant) peut être déchiffrée ».
Au lieu de simplement dire qu’il ne faut pas faire confiance à la NSA, j’aimerais voir le raisonnement expliquant pourquoi il faudrait vous faire confiance, vous.
Je trouve étrange de soulever publiquement le problème sans mentionner que la plainte a été officiellement rejetée il y a trois jours (voir : document officiel de l’IESG).
Je vous respecte, vous comme l’auteur, mais le document de rejet se contente en fait de dire « pas de problème de procédure » et « si vous voulez contester, refaites-le correctement dans les formes », sans répondre de manière substantielle au point principal. Ce genre de réponse inspire encore moins confiance.
Je pense que c’est bien que cela soit public pour l’exhaustivité du dossier. Il ne faut jamais oublier que ce type de sujet s’inscrit dans une longue histoire de gens qui essaient sans relâche d’affaiblir le chiffrement.
Cette affaire m’inquiète beaucoup, et je respecte DJB pour le fait de s’y opposer. Une chose me laisse perplexe : qui sont réellement les cibles suffisamment importantes pour que la NSA s’en préoccupe à ce point ?
Les cibles techniquement averties utiliseront de toute façon des échanges de clés hybrides,
et pour les utilisateurs ordinaires ou peu techniques, le chiffrement a déjà presque perdu tout son sens avec une surveillance du type PRISM.
Alors quelle est la véritable intention de la NSA ?
La plupart des organisations se contentent d’utiliser les routeurs Cisco ou les paramètres de sécurité par défaut des navigateurs web. Au départ, la NSA exige la prise en charge de protocoles qui ne sont pas totalement sûrs, puis, une fois qu’ils se sont généralisés, elle les fait contrôler comme « valeur par défaut » dans les audits de conformité.
Même si toutes les cibles ne peuvent pas être couvertes par une technologie avec porte dérobée, si 30 % du marché l’utilise, c’est déjà un énorme succès. Le renseignement est un jeu de chiffres : il suffit de jeter un filet large, et tôt ou tard on attrape beaucoup de cibles.
Combiné à QUANTUMINSERT, cela peut exposer même les personnes qui utilisaient à l’origine un chiffrement plus robuste à des attaques par rétrogradation.
J’aimerais qu’on explique plus concrètement ce que signifie exactement « c’est inquiétant ».
Est-ce que cela veut dire que 99 % du trafic TLS mondial est en danger ?
L’engouement pour remplacer RSA par ECC me paraît tout aussi suspect. J’ai l’impression qu’on a vu surgir d’un seul coup, selon un schéma trop évident, des affirmations disant qu’un algorithme ancien et éprouvé n’était soudain plus digne de confiance, qu’il était difficile à implémenter, lent et dépassé. Tout cela me semble très artificiel.
Le simple fait d’imaginer une telle tentative me donne envie d’ajouter une troisième couche par-dessus les deux couches de chiffrement déjà en place.
L’affirmation selon laquelle « les algorithmes post-quantiques pourraient être cassés même par les ordinateurs actuels » revient en pratique à proposer une forme de « Security Through Ignorance ». Ce chiffrement est-il sûr ? Personne ne le sait ! Attendons de voir ce qui se passe.
On dirait qu’il y a tout un drame fait de plusieurs épisodes, mais indépendamment de cela, ce texte m’a fait penser que des standards importants devraient être décidés ailleurs que par les gouvernements. Quelle organisation serait la mieux placée pour piloter un processus de normalisation ? La Linux Foundation ? En ce moment, on dirait que l’écosystème Ethereum concentre beaucoup de talents en mathématiques cryptographiques autour des preuves à divulgation nulle de connaissance (ZK proof). Si Vitalik lançait un concours comme le NIST, cela attirerait sans doute l’attention de tout le monde. Ce qu’il faut surtout, c’est mettre en place une structure qui récompense les attaquants essayant de casser une cryptographie sur de fausses données avant son déploiement réel. L’idéal serait qu’un schéma cryptographique soit déjà attaqué avant même d’être standardisé. Le camp Ethereum semble déjà bien gérer ce type de bounty. Si les cryptographes peuvent être réellement rémunérés via une divulgation éthique, ils auront moins d’incitation à vendre à des acteurs non éthiques.
Le plus inquiétant, c’est qu’une personne nommée Wouters a menacé Bernstein de bannissement avec un message CoC (code de conduite) très hostile et agressif (voir : l’e-mail original). Une expérience paradoxale de « faites confiance au processus ».
Le FIPS est une sorte de dernier rempart des standards de sécurité.