Sécurité

La NSA a exploité la faille de Heartbleed pour l’espionnage, selon Bloomberg.

Il faut dire que l’échec d’OpenSSL, qui s’appelle Heartbleed, a été l’un des problèmes les plus retentissants de la semaine. Le problème n’est réglé que maintenant, mais la vulnérabilité existe depuis des mois. Le pire, c’est qu’une institution importante non seulement le savait, mais l’appréciait : elle-même, l’Agence de sécurité nationale (NSA) des États-Unis.

L’information a été révélée ce vendredi (11) par Bloomberg, qui prétend avoir entendu deux sources fiables proches de la NSA. Ces personnes ont informé le véhicule que l’entité avait exploité l’échec des deux dernières années pour obtenir des mots de passe et d’autres informations sensibles et, en utilisant la question de la sécurité nationale comme justification, a gardé la connaissance de la vulnérabilité un précieux secret.

Pas pour moins. Comme nous l’expliquons ici dans PerlmOl, Heartbleed consiste en une défaillance critique d’OpenSSL – une implémentation des protocoles SSL et TLS largement utilisés dans la création de connexions sécurisées dans les services en ligne – qui peut donner un accès abusif aux e-mails, comptes sur les réseaux sociaux, mots de passe, entre autres.

  La commande sudo utilisée dans Linux et macOS présente une faille de sécurité

Personne ne sait avec certitude à quels sites web ou services en ligne la NSA a eu accès par l’intermédiaire de Heartbleed, mais si l’on tient compte du fait que les sources entendues ont déclaré que l’échec a été largement exploité par l’agence, on peut en déduire qu’il y en a eu beaucoup.

La connaissance de la vulnérabilité par la NSA n’est pas considérée comme une surprise. Selon Bloomberg, l’agence maintient de lourds investissements dans la recherche de pannes de logiciels et, comme OpenSSL est très populaire, il serait devenu l’une des cibles privilégiées de ses “chasseurs de bogues”.

Oui, cela signifie que la NSA peut tirer profit de vulnérabilités encore inconnues dans d’autres systèmes. Cette pratique est jugée si importante que si elle était interdite par le gouvernement américain, elle pourrait, selon les chefs des services de renseignement américains, diminuer considérablement la capacité du pays à détecter les menaces terroristes ou les activités de dirigeants étrangers hostiles.

  Comment comparer le catalogue Netflix, Amazon Prime Video, HBO Go, Crackle, Google Play et autres

C’est peut-être une façon subtile pour ces autorités de dire que, malgré la gravité de la question, les États-Unis ne veulent pas inclure l’exploitation des logiciels dans la liste des “pouvoirs” qui pourraient être examinés par le gouvernement afin d’atténuer les effets causés par les rapports d’espionnage.

Recherchée par Bloomberg, la NSA n’a pas voulu se prononcer sur le sujet, mais a commenté via Twitter qui ne connaissait que Heartbleed lorsque le sujet a commencé à être diffusé.

A propos de l'auteur

Véronique

La trentaine, maman de deux petits monstres de 10 ans. Je pèse chaque jour le pour et le contre dans l'utilisation des écrans pour mes bambins !
J'écris souvent depuis les transports en commun (#teamTablette).

Laisser un commentaire