Heartbleed : la NSA connaissait et exploitait la faille

Par:
fredericmazue

lun, 14/04/2014 - 17:33

Un petit espoir subsistait à propos de la faille Heartbleed, la plus grosse faille de l'histoire d'Internet découverte la semaine dernière.  C'est l'espoir que cette faille n'avait été exploitée de façon malveillante par personne, faute d'avoir été connue.

Il est toujours difficile de savoir si une faille est exploitée, les hackers le faisant ne s'en vantant en général pas. Mais en la matière, il y a une vedette sous les feux des projecteurs depuis l'affaire PRISM et les révélations d'Edward Snowden : la NSA.

Selon Bloomberg, qui s'appuie sur deux sources proches du dossier, la NSA connaissant depuis 2 ans l'existence de cette faille aujourd'hui baptisée Heartbleed, et l'exploitait...

Durant l'affaire PRISM des rumeurs voulaient que la NSA soit capable de se connecter à des serveurs dont la connexion SSH est protégée par une paire de clés RSA asymétriques. La faille Heartbleed permettant potentiellement de voler une clé privée dans la mémoire dans serveur, ces rumeurs prennent une certaine crédibilité.    

La NSA, interrogée, au sujet de Heartbleed nie tout en bloc, comme à l'accoutumée, et assure qu'elle n'avait pas connaissance de l'existence de la faille.

Selon Bloomberg, les choses sont contraires. La NSA connaissait l'existence de la faille et se gardait bien de la révéler, dans l'intérêt de la sécurité publique. Ce qui se traduit par : afin de pouvoir continuer à espionner tranquillement.

Bloomberg rappelle que la NSA a plus de 1 000 experts à son service pour traquer les faille logicielles. Bloomberg, en s'appuyant sur une de ses sources, assure que l'agence a découvert l'existence de Heartbleed peu de temps après l'arrivée de la mise à jour d'OpenSSL qui la comportait, et que cette faille faisait partie de son toolkit de base pour voler des mot de passe parmi d'autres tâches.

Frédéric Mazué