Android : une faiblesse introduite par la NSA ?

Via HN :

En décembre 2012, une mise à jour sur le système Android changeait la liste des protocoles cryptographiques utilisés pour tout établissement de connexion SSL.
On sait que quand une connexion SSL est créée, un handshake entre le client et le serveur permet de définir un protocole qui sera utilisé pour chiffrer la suite de la communication. Le choix du protocole se fait parmi une liste et c’est toujours le plus sécurisé disponible pour les deux parties qui sera utilisé.

Or la modification faite sur Android change la liste qui était celle par défaut sur OpenSSL (AES256 > 3DES > AES128 > RC4) pour une liste fait-maison (RC4 > AES128 > 3DES) et ce pour la seule raison visible de ne plus dépendre de la liste proposée par OpenSSL

L’AES256 étant le plus sûr et RC4 ayant des faiblesses connues, on peut se demander si ce changement est la conséquence d’un amateurisme total en crypto ou la touche perso de la NSA