Alors que la révélation sur l’existence des failles Meltdown et Spectre est très récente, la question de savoir si la NSA connaissait ces brèches s’est très vite posée. Réponse de l’agence : non, elle ne savait pas.

2018 a commencé très fort sur le terrain des failles informatiques, avec la révélation au public de deux vulnérabilités très graves, Meltdown et Spectre, qui se nichent dans la quasi-totalité des processeurs mis sur le marché par Intel, AMD et ARM depuis une dizaine voire une quinzaine d’années. En la matière, la société Intel est très exposée puisque ses produits sont touchés par les deux brèches.

Au-delà du risque intrinsèque qu’elles font courir aux ordinateurs, et donc au public, ces vulnérabilités étonnent par leur découverte très récente. En effet, elles passent pourtant par des mécanismes — à savoir l’exécution spéculative — que les processeurs mettent en œuvre depuis de très nombreuses années. Or pendant tout ce temps, ces deux faiblesses sont passées sous les radars de l’industrie.

« La toute puissante NSA savait-elle pour Spectre et Meltdown ? »

Mais sont-elles passées sur ceux des agences de renseignement ? C’est évidemment l’une des questions qui préoccupent les experts en sécurité informatique. La toute puissante NSA savait-elle pour Spectre et Meltdown ? On sait que la NSA ne révèle pas toutes les failles que découvrent ses agents. Mais ça ne veut absolument pas dire que l’agence connaissait ces deux brèches.

Il lui arrive aussi de ne pas souhaiter dire si oui ou non elle était au courant pour telle ou telle vulnérabilité. L’automne dernier, elle a ainsi refusé de s’exprimer au sujet de Krack, le surnom donné à la grave faiblesse qui a été détectée dans le protocole WPA2 servant à sécuriser les communications sans fil en Wi-Fi et dont l’existence a été révélée quelques semaines plus tôt.

NSA

CC Mario Antonio Pena Zapatería

Dans le cas de Meltdown et Spectre, c’est différent.

La NSA, par la voix de Rob Joyce, le coordinateur à la Maison-Blanche en charge de la cybersécurité, est catégorique : « la NSA n’était pas au courant de la faille, elle ne l’a pas exploitée et il est certain que le gouvernement américain n’aurait jamais mis une grande entreprise comme Intel dans une position de risque comme celle-ci pour essayer de garder ouverte une vulnérabilité ».

Les propos de Rob Joyce sont invérifiables en l’état, au regard de la culture du secret qui entoure la NSA et du caractère sensible de ses activités. Toutefois, selon le Washington Post, qui a interrogé des responsables anciens et actuels, ne savait pas pour ces deux brèches. Et de toute façon, la NSA a l’obligation de prévenir les firmes concernées au bout d’un moment si les failles sont critiques.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !