Alors que la révélation sur l'existence des failles Meltdown et Spectre est très récente, la question de savoir si la NSA connaissait ces brèches s'est très vite posée. Réponse de l'agence : non, elle ne savait pas.

2018 a commencé très fort sur le terrain des failles informatiques, avec la révélation au public de deux vulnérabilités très graves, Meltdown et Spectre, qui se nichent dans la quasi-totalité des processeurs mis sur le marché par Intel, AMD et ARM depuis une dizaine voire une quinzaine d’années. En la matière, la société Intel est très exposée puisque ses produits sont touchés par les deux brèches.

Au-delà du risque intrinsèque qu’elles font courir aux ordinateurs, et donc au public, ces vulnérabilités étonnent par leur découverte très récente. En effet, elles passent pourtant par des mécanismes — à savoir l’exécution spéculative — que les processeurs mettent en œuvre depuis de très nombreuses années. Or pendant tout ce temps, ces deux faiblesses sont passées sous les radars de l’industrie.

« La toute puissante NSA savait-elle pour Spectre et Meltdown ? »

Mais sont-elles passées sur ceux des agences de renseignement ? C’est évidemment l’une des questions qui préoccupent les experts en sécurité informatique. La toute puissante NSA savait-elle pour Spectre et Meltdown ? On sait que la NSA ne révèle pas toutes les failles que découvrent ses agents. Mais ça ne veut absolument pas dire que l’agence connaissait ces deux brèches.

Il lui arrive aussi de ne pas souhaiter dire si oui ou non elle était au courant pour telle ou telle vulnérabilité. L’automne dernier, elle a ainsi refusé de s’exprimer au sujet de Krack, le surnom donné à la grave faiblesse qui a été détectée dans le protocole WPA2 servant à sécuriser les communications sans fil en Wi-Fi et dont l’existence a été révélée quelques semaines plus tôt.

Dans le cas de Meltdown et Spectre, c’est différent.

La NSA, par la voix de Rob Joyce, le coordinateur à la Maison-Blanche en charge de la cybersécurité, est catégorique : « la NSA n’était pas au courant de la faille, elle ne l’a pas exploitée et il est certain que le gouvernement américain n’aurait jamais mis une grande entreprise comme Intel dans une position de risque comme celle-ci pour essayer de garder ouverte une vulnérabilité ».

Les propos de Rob Joyce sont invérifiables en l’état, au regard de la culture du secret qui entoure la NSA et du caractère sensible de ses activités. Toutefois, selon le Washington Post, qui a interrogé des responsables anciens et actuels, ne savait pas pour ces deux brèches. Et de toute façon, la NSA a l’obligation de prévenir les firmes concernées au bout d’un moment si les failles sont critiques.