RSA a annoncé cette semaine que l'élément de base au coeur de ses produits de cryptographie, utilisés dans les standards d'internet, était en fait vulnérable car conçu comme tel selon les desiderata de la NSA. La RSA, on ne se rend pas compte, se suicide aujourd'hui alors que c'est un pilier de la sécurité sur internet. Jusqu'à il y a encore quelques mois, dire que son protocole utilisait les algorithmes de la RSA était de signe de sérieux.
On sait aujourd'hui, grâce à Snowden, que tout cela n'est que de la fumette, et qu'on ne peut décidément pas faire confiance à une entreprise américaine.
Ceci ne serait pas si grave si cela ne concernait que les américains, car après tout s'ils votent pour des dirigeants qui les privent de leurs libertés, c'est leur problème.
Mais évidemment, avec internet comme vecteur de mobilisation, c'est le monde entier qui se le prend en pleine face. Car cette vulnérabilité consentie veut tout simplement dire qu'aucun protocole standard d'internet n'est fiable. Aucun.

Le prochain sur la liste c'est Verisign, cette fameuse filiale de Microsoft qui produit des certificats pour signer des clefs de chiffrement. On voit mal comment la RSA pourrait vendre de faux produits de sécurité car la NSA les y oblige, et que Verisign pourrait s'exonérer de la même chose, alors que Verisign est assujettie aux mêmes lois et aux mêmes rapports de force.

Et donc ces certificats non fiables, cela veut dire qu'il n'est pas possible de faire confiance à une signature d'un produit téléchargé sur internet ou à un site certifié sur internet. Et encore moins au "cloud", qui repose justement sur Verisign, RSA, etc.