Selon Bloomberg, l'agence de sécurité américaine aurait eu connaissance de la faille présente dans OpenSSL depuis deux ans, mais aurait préféré ne rien dire pour pouvoir l'exploiter.

L'agence nationale de sécurité américaine, la fameuse NSA, a-t-elle fait primer ses fonctions de surveillance des communications électroniques sur celles, qui lui incombent également, d'aide à la sécurisation des informations du secteur public et privé ? Le mélange des genres a peut-être abouti une fois de trop à un mauvais arbitrage avec la faille Heartbleed, découverte dans la bibliothèque de chiffrement des communications OpenSSL.

La faille, qui a touché de très nombreux sites internet, permettait d'obtenir des informations de toutes natures piochées au hasard dans le cache des serveurs avant qu'elles ne soient envoyées de façon sécurisée sur le réseau. Mots de passe, numéros de cartes bancaires, e-mails, clés privées de chiffrement… tout ce qui était en principe sécurisé par OpenSSL pouvait être intercepté en clair par qui connaissait l'existence de la faille et savait l'exploiter.

Or l'agence Bloomberg affirme sur la base de deux sources proches du dossier que la NSA connaissait l'existence de la faille Heartbleed depuis deux ans, c'est-à-dire depuis ses origines, et l'utilisait régulièrement pour collecter des données. Alors-même que la faille a touché des milliers d'entreprises américaines, parmi les plus importantes au monde (Google, Facebook, Yahoo, Dropbox, Amazon…), et des dizaines de millions d'Américains — sans compter les entreprises et internautes de puissances alliées, la NSA aurait préféré gardé pour elle la connaissance de cette faille gravissime afin de pouvoir l'exploiter. Au risque que des agences étrangères aient la même connaissance et le même réflexe.

La NSA dément

De nombreuses voix s'élèvent déjà depuis hier pour attaquer durement l'agence américaine, qui était déjà très fortement critiquée pour ses programmes de surveillance, mais qui l'est désormais pour avoir manqué à son devoir de protection des intérêts américains. "Il est difficile en tant qu'entreprise technologique de ne pas se sentir en guerre contre notre propre gouvernement", résume sur Twitter Matthew Prince, le directeur de la sécurité de CloudFlare.

De son côté, la NSA dément l'information, mais sans convaincre. "La NSA n'avait pas connaissance de la vulnérabilité récemment découverte dans OpenSSL, la vulnérabilité dénommée Heartbleed, jusqu'à ce qu'elle soit rendue publique dans un rapport de cybersécurité du secteur privé", assure l'agence à Mashable. "Les rapports qui disent le contraire ont tort".

Mais la NSA ne pourrait pas avouer avoir eu connaissance et avoir exploité la faille sans provoquer une crise très importante, non seulement aux Etats-Unis, mais partout dans le monde.

Partager sur les réseaux sociaux

Articles liés