NAI, qui développe et commercialise PGP, vient de remporter deux contrats : avec la DARPA, le créateur (militaire) d’Internet, et puis la NSA, les grandes oreilles américaines. Pas de quoi fouetter un chat.
SELinux (http://www.nsa.gov/selinux/), est le nom du système d’exploitation sécurisé développé par la National Security Agency (l’agence chargée de la surveillance des télécommunications) et quelques prestataires privés. La NSA a révélé récemment le code source, de ce système, développé sur la base du noyau Linux, comme tout logiciel libre qui se respecte. Il est donc possible à chacun d’en vérifier l’intégrité, d’en corriger les bugs et d’en améliorer les fonctionnalités. Network Associates (NAI), qui développe et commercialise le produit, ainsi que les antivirus McAfee ou encore le fameux "Sniffer", un outil de surveillance réseau, vient d’être choisi par la NSA pour "réduire les risques de faille de sécurité" de SELinux (http://www.nai.com). Le contrat devrait rapporter 1,2 millions de dollars (8 millions de francs) sur deux ans à NAI. Le même jour, Network Associates annonçait un contrat de 2,4 millions de dollars (16 millions de francs) avec la DARPA, le vénérable créateur (militaire) d’Internet, en vue de développer une solution de contrôle d’accès, basée sur un système informatique distribué (http://www.nai.com). Autant dire que l’on se retrouve, une fois encore, en présence d’informations propres à alimenter les traditionnelles rumeurs entourant la fiabilité de PGP.
NSA, DARPA, paranoïa
La paranoïa tournant autour des rapports entre les outils de cryptographie et les services de renseignements, ne date pas d’hier. Régulièrement, certains affirment que PGP est contrôlé par la NSA (voir, ainsi, la page consacrée aux rumeurs d’OpenPGP ). On notera, pour commencer, que l’équipe qui développe PGP _ grosso modo la même que celle qui, avec Phil Zimmermann, son créateur, a créé le logiciel _ n’est pas la même que celle qui travaillera sur les deux projets annoncés. Zimmermann a d’ailleurs récemment quitté la société parce qu’elle ne souhaitait plus, entre autres, livrer le code source du logiciel, seul moyen de vérifier l’intégrité du programme. Et de s’assurer qu’il ne contient ni bugs ni porte dérobée. De là à voir une collusion avec les services secrets... il n’y a qu’un (faux) pas. En effet, les codes sources continuent d’être vérifiés par des experts, ainsi que par les services de renseignements des autres pays. A ce titre, il serait pour le moins désastreux de mettre quelque porte dérobée _ un accès qui permet d’outrepasser la sécurisation du logiciel_ que ce soit dans PGP. Par ailleurs, les utilisateurs de PGP migrent de plus en plus vers GnuPG, la version (encore plus) libre d’OpenPGP (http://www.geocities.com/openpgp), le standard de référence en la matière. Pas de quoi relancer la parano liée à la NSA, donc. En revanche, on peut désormais suivre les discussions entre les développeurs de la NSA et tous ceux qui contribuent au développement de SELinux. Pour une fois qu’une mailing-liste de la NSA rend publiques ses archives ...