Une semaine après la découverte de la faille Heartbleed dans OpenSSL, les regards se tournent vers la NSA. L'agence américaine a-t-elle eu connaissance de ce bug et l'a-t-elle exploité ? À en croire les sources de la presse outre-Atlantique, oui. En outre, la NSA aurait eu la bénédiction de la Maison-Blanche.

La NSA a-t-elle sciemment mis en péril la sécurité de tous les internautes en gardant secrète l'existence de Heartbleed ? C'est la question qui se pose depuis quelques jours, dans la mesure où l'agence de sécurité nationale américaine est suspectée d'avoir eu connaissance depuis deux ans de cette vulnérabilité au sein de la bibliothèque de chiffrement des communications.

La semaine dernière, l'agence Bloomberg a affirmé que l'organisme connaissait l'existence de Heartbleed depuis le début, c'est-à-dire peu après l'apparition, a priori par inadvertance, du bug dans le code source. Cet accès aurait permis à la NSA de collecter régulièrement des données (mots de passe, numéros de cartes bancaires, e-mails, clés privées de chiffrement…) dans le cadre de sa mission de renseignement.

Sans surprise, la NSA a réagi à l'article de Bloomberg en assurant n'avoir jamais eu connaissance du bug. Malheureusement pour l'agence gouvernementale, le scandale PRISM est passé par là. Qui désormais va croire ses propos, surtout lorsque ceux-ci laissent entendre que la NSA – qui est dotée de moyens colossaux – n'aurait pas repéré et exploité une brèche éminemment utile pour collecter des données ?

En la matière, le New York Times vient justement d'enfoncer le clou en citant des hauts responsables de l'administration américaine. Selon ces derniers, non seulement la NSA était au courant de l'existence du bug Heartbleed, mais l'agence a été clairement soutenue par Washington en début d'année en l'autorisant à poursuivre dans cette voie.

Ce feu vert est doublement discutable, d'abord parce qu'il fait primer les fonctions de surveillance des communications électroniques de l'agence de renseignement sur celles, qui lui incombent également, d'aide à la sécurisation des informations du secteur public et privé. En effet, La NSA a aussi un programme consistant à contribuer à la protection des systèmes d'information.

Ensuite, parce qu'il laisse entendre que l'administration Obama a validé le principe de maintenir les Américains dans une insécurité informatique, alors même que le gouvernement fédéral – et donc l'ensemble des organismes qui en dépendent – est censé agir dans leurs intérêts. Car rien n'indique que Heartbleed n'a pas déjà servi à dérober des informations, notamment américaines.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.