La NSA reconnaît exploiter des failles de sécurité sans les divulguer

C'était un secret de polichinelles, et il serait naïf de croire que la DGSE et l'ANSSI n'ont pas la même stratégie en France — il n'y a pas encore eu d'Edward Snowden français pour le démontrer. Mais c'est la première fois qu'une organisation gouvernementale le reconnaît aussi ouvertement. Dans un billet publié sur le site de la Maison Blanche, le coordinateur de la cybersécurité auprès de Barack Obama, Michael Daniel, admet que la NSA exploite des failles de sécurité avant qu'elles ne soient révélées pour être corrigées.

Concernant l'actualité du moment, Michael Daniel maintient le démenti de la Maison Blanche concernant la faille Heartbleed de OpenSSL, dont la presse américaine assure qu'elle était connue des services et a été exploitée par la NSA avec le feu vert de Washington. Mais il reconnaît que la polémique relance "le débat pour savoir si le gouvernement fédéral devrait parfois tenir le public à l'écart de la connaissance d'une vulnérabilité informatique".

"Dans la majorité des cas, divulguer de façon responsable une vulnérabilité nouvellement découverte est clairement dans l'intérêt national", prévient le haut fonctionnaire américain. Mais "dans la majorité des cas" seulement. Car si "divulguer des vulnérabilités est d'habitude logique" au regard du besoin de conserver la confiance nécessaire à l'économie numérique, la NSA et la Maison Blanche estiment qu'il y a des exceptions et qu'il ne faut pas "renoncer complètement à cet outil".

"A quel point avons-nous besoin des informations" ?

"Il y a des pour et des contre légitimes dans la décision de divulguer, et le compromis entre la divulgation rapide et la retenue pour un temps limité de la connaissance de certaines vulnérabilités peut avoir des conséquences significatives. Divulguer une vulnérabilité peut vouloir dire que nous renonçons à la possibilité de collecter des informations cruciales qui pourraient contrecarrer une attaque terroriste, arrêter le vol de la propriété intellectuelle de notre pays, ou même permettre de découvrir des vulnérabilités plus dangereuses qui sont utilisées par les hackers ou d'autres adversaires pour exploiter nos réseaux".

Washington liste une série de questions dont les réponses l'aident à déterminer son choix de divulguer ou non une faille :

• Dans quelles proportions le système vulnérable est-il utilisé dans les infrastructures Internet de base, dans d'autres infrastructures critiques, dans l'économie américaine, et/ou dans les systèmes de sécurité nationale ?
• La vulnérabilité, si elle n'est pas patchée, impose-t-elle un risque significatif ?
• Quel dommage une nation adverse ou un groupe criminel peut-il faire avec la connaissance d'une telle vulnérabilité ?
• Quelle est la probabilité que nous le sachions si quelqu'un d'autre l'exploitait ?
• A quel point avons-nous besoin des informations que nous pensons pouvoir obtenir en exploitant cette vulnérabilité ?
• Existe-t-il d'autres moyens de les obtenir ?
• Pouvons-nous exploiter la vulnérabilité pendant une courte période de temps avant de la divulguer ?
• Quelle est la probabilité que quelqu'un d'autre découvre la vulnérabilité ?
• La vulnérabilité peut-elle être corrigée ou atténuée ?

On devine malgré les précautions oratoires que la NSA estime très souvent qu'il peut être utile de retarder la divulgation d'une faille, le temps de l'exploiter pour obtenir des informations. Dans le cas de la faille Heartbleed, ce temps d'exploitation pourrait avoir été de deux années. Voire plus encore si le bug n'avait pas été découvert.

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !