Passé un léger temps de réflexion, les experts sécurité qui réfléchissent avant d’écrire émettent enfin leurs avis. Cédric Blancher ouvre le bal, en déclarant un « Kerckhoffs #FAIL ? ». Et d’expliquer en termes simples (ou presque) comment fonctionne un token RSA et comment le secret entourant l’intégration de ce mécanisme de sécurité ne devrait pas être un secret susceptible d’amoindrir la fiabilité du système s’il venait à être éventé. Les amateurs de littérature sur le chiffrement peuvent consulter une version Française du principe ici discuté sur le site de Fabien Petitcolas, Kerckhoffs Fail également pour Jeff Jarmoc Dell Security, ex-SecureWorks, ex-Luhrq. Là également, une approche méthodique. Kerckhoffs Fail encore, avec un véritable cours dispensé par l’un des plus prestigieux professeurs en la matière, Steve Bellovin. Article assez didactique pour que même un journaliste ait l’impression de comprendre de quoi il ressort. Plus de passion et de rancœur pour Steve Gibson, qui critique également ce mauvais usage du secret autour de l’implémentation du mécanisme. Un Gibson qui, au passage, écorne lui aussi la culture du secret médiatique et de la langue de bois cultivée par Art Coviello. « It would have been difficult for any bureaucrat to be less clear about what they know ». Propos nettement plus tranchés que ceux de Jeff Jarmoc « Due to RSA’s public nondisclosure of specific details regarding the nature of the compromise, the impact of this breach on their customers remains largely unknown ». Mais dans les deux cas, l’assourdissant silence de RSA est condamné. Bellovin se montre encore plus retors. Une faille d’intégration ? Allons donc… je suis persuadé qu’une entreprise aussi sérieuse que RSA a su éviter des écueils aussi évidents pour de vrais professionnels tels qu’eux, dit-il en substance. En revanche, le « back office » de RSA s’est montré faillible. C’est dans la gestion des comptes clients, des clefs, des renouvellements d’abonnement qu’il y a eu fuite, et c’est là qu’il risque d’y avoir un simple vol direct de clefs ou l’injection de fausses données. La crypto peut très bien être solide, mais qu’en est-il du logiciel qui l’administre ?