L'Association internationale pour la recherche en cryptologie vient d'annuler son élection annuelle après qu'un de ses membres a égaré sa clé de chiffrement. Une mésaventure savoureuse qui transforme ces experts mondiaux de la sécurité informatique en contre-exemple involontaire.
Quand la crème de la crème des cryptographes mondiaux organise un scrutin, on s'attend logiquement à du Fort Knox numérique. L'IACR (International Association for Cryptologic Research) avait sorti l'artillerie lourde pour son vote de direction. Sauf que toute la puissance de calcul du monde ne peut rien contre le facteur humain, ce bon vieux grain de sable qui vient de gripper la machine la plus sophistiquée du moment.
Un système inviolable... jusqu'à la boulette
L'organisation utilise Helios, une plateforme de vote open source tellement robuste qu'elle ferait passer le Pentagone pour un moulin. Pour sécuriser le tout, ils découpent la clé de déchiffrement en trois morceaux, confiés à trois gardiens différents. C'est le principe du seuil : il faut réunir les trois bouts pour lire les résultats, empêchant toute triche en solitaire.
Sauf que Moti Yung, chercheur chez Google et l'un des fameux gardiens, a « irrémédiablement perdu » sa précieuse portion de clé. Oui, vous avez bien lu. L'équivalent numérique de perdre les clés de l'urne avant de jeter le double dans les toilettes. Résultat des courses : les votes sont bien là, numériquement scellés dans un coffre-fort mathématique que personne ne pourra jamais ouvrir.
L'association a tenté de sauver la face en évoquant une « erreur humaine honnête mais malheureuse ». Un doux euphémisme qui prête à sourire quand on sait que ces gens organisent les conférences Eurocrypt et Crypto, les grand-messes où se décide le futur de la sécurité mondiale.
On efface tout et on recommence
Face à ce mur cryptographique de sa propre fabrication, l'IACR n'a eu d'autre choix que de siffler la fin de la récréation et d'annuler le vote du 21 novembre. Retour à la case départ pour tout le monde, avec un nouveau scrutin ouvert jusqu'au 20 décembre 2025.
La sanction n'a pas tardé : Moti Yung a rendu son tablier de gardien, remplacé au pied levé par Michel Abdalla. Ben Adida, le créateur d'Helios, suppose que la clé perdue traînait dans un fichier téléchargé puis « supprimé par mégarde ». C'est ballot, comme on dit. Pour éviter une nouvelle humiliation, l'organisation va mettre un peu d'eau dans son vin cryptographique : le prochain système ne demandera que deux clés sur trois pour fonctionner.
Cette farce technologique nous offre une leçon gratuite : on peut empiler les algorithmes les plus complexes, la sécurité informatique finira toujours par buter sur un humain qui ne sait plus où il a rangé son fichier. Une piqûre de rappel ironique pour une communauté qui passe son temps à chercher la perfection mathématique.
Source : Ars Technica
