Il y a deux ans, des chercheurs néerlandais ont découvert une porte dérobée intentionnelle dans un algorithme de cryptage intégré dans des radios utilisées par des infrastructures critiques, ainsi que par la police, les agences de renseignement et les forces armées du monde entier, qui rendait toute communication sécurisée par l’algorithme vulnérable à l’écoute.
Lorsque les chercheurs ont révélé publiquement le problème en 2023, l’Institut européen des normes de télécommunication (ETSI), qui a développé l’algorithme, a conseillé à tous ceux qui l’utilisaient pour des communications sensibles de déployer une solution de chiffrement de bout en bout en plus de l’algorithme défectueux afin de renforcer la sécurité de leurs communications.
Mais les mêmes chercheurs viennent de découvrir qu’au moins une implémentation de la solution de chiffrement de bout en bout approuvée par l’ETSI présente un problème similaire qui la rend tout aussi vulnérable aux écoutes clandestines. L’algorithme de chiffrement utilisé pour l’appareil examiné commence par une clé de 128 bits, mais celle-ci est comprimée à 56 bits avant de chiffrer le trafic, ce qui la rend plus facile à pirater. On ne sait pas exactement qui utilise cette implémentation de l’algorithme de chiffrement de bout en bout, ni si les personnes qui utilisent des appareils dotés du chiffrement de bout en bout sont conscientes de la faille de sécurité qu’ils présentent.
Le chiffrement de bout en bout examiné par les chercheurs, dont le déploiement est coûteux, est le plus souvent utilisé dans les radios des forces de l’ordre, des forces spéciales et des équipes secrètes de l’armée et du renseignement qui participent à des activités de sécurité nationale et ont donc besoin d’une couche de sécurité supplémentaire. Mais l’approbation de l’algorithme par l’ETSI il y a deux ans pour pallier les failles constatées dans son algorithme de cryptage de niveau inférieur suggère qu’il pourrait être utilisé plus largement aujourd’hui qu’à l’époque.
En 2023, Carlo Meijer, Wouter Bokslag et Jos Wetzels de la société de sécurité Midnight Blue, basée aux Pays-Bas, ont découvert des failles dans les algorithmes de chiffrement qui font partie d’une norme radio européenne créée par l’ETSI appelée TETRA (Terrestrial Trunked Radio), qui a été intégrée dans les systèmes radio fabriqués par Motorola, Damm, Sepura et d’autres depuis les années 90. Les failles sont restées inconnues du public jusqu’à leur divulgation, car l’ETSI a refusé pendant des décennies de laisser quiconque examiner les algorithmes propriétaires. Le chiffrement de bout en bout que les chercheurs ont examiné récemment est conçu pour fonctionner au-dessus des algorithmes de chiffrement TETRA.