L'agence nationale de sécurité américaine, la fameuse NSA, a-t-elle fait primer ses fonctions de surveillance des communications électroniques sur celles, qui lui incombent également, d'aide à la sécurisation des informations du secteur public et privé ? Le mélange des genres a peut-être abouti une fois de trop à un mauvais arbitrage avec la faille Heartbleed, découverte dans la bibliothèque de chiffrement des communications OpenSSL.
La faille, qui a touché de très nombreux sites internet, permettait d'obtenir des informations de toutes natures piochées au hasard dans le cache des serveurs avant qu'elles ne soient envoyées de façon sécurisée sur le réseau. Mots de passe, numéros de cartes bancaires, e-mails, clés privées de chiffrement… tout ce qui était en principe sécurisé par OpenSSL pouvait être intercepté en clair par qui connaissait l'existence de la faille et savait l'exploiter.
Or l'agence Bloomberg affirme sur la base de deux sources proches du dossier que la NSA connaissait l'existence de la faille Heartbleed depuis deux ans, c'est-à-dire depuis ses origines, et l'utilisait régulièrement pour collecter des données. Alors-même que la faille a touché des milliers d'entreprises américaines, parmi les plus importantes au monde (Google, Facebook, Yahoo, Dropbox, Amazon…), et des dizaines de millions d'Américains — sans compter les entreprises et internautes de puissances alliées, la NSA aurait préféré gardé pour elle la connaissance de cette faille gravissime afin de pouvoir l'exploiter. Au risque que des agences étrangères aient la même connaissance et le même réflexe.
La NSA dément
De nombreuses voix s'élèvent déjà depuis hier pour attaquer durement l'agence américaine, qui était déjà très fortement critiquée pour ses programmes de surveillance, mais qui l'est désormais pour avoir manqué à son devoir de protection des intérêts américains. "Il est difficile en tant qu'entreprise technologique de ne pas se sentir en guerre contre notre propre gouvernement", résume sur Twitter Matthew Prince, le directeur de la sécurité de CloudFlare.
De son côté, la NSA dément l'information, mais sans convaincre. "La NSA n'avait pas connaissance de la vulnérabilité récemment découverte dans OpenSSL, la vulnérabilité dénommée Heartbleed, jusqu'à ce qu'elle soit rendue publique dans un rapport de cybersécurité du secteur privé", assure l'agence à Mashable. "Les rapports qui disent le contraire ont tort".
Mais la NSA ne pourrait pas avouer avoir eu connaissance et avoir exploité la faille sans provoquer une crise très importante, non seulement aux Etats-Unis, mais partout dans le monde.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.