Alors que le monde découvre encore les conséquences de l’incroyable faille Internet appelée Heartbleed, des indices laissent à penser que la NSA était non seulement au courant depuis 2 ans, mais également habituée à exploiter cette faille.
La vulnérabilité sans précédent remettant en cause la sécurité des échanges numériques sur Internet s’appelle Heartbleed. Elle est historique et menace de nombreuses données personnelles, bancaires, confidentielles, économiques. Ou plutôt « menaçait », puisque désormais, les sites web les plus importants ont corrigé la faille OpenSSL.
La NSA savait-elle pour Heartbleed ?
Après avoir digéré cette inquiétante révélation, certains médias comme Wired se sont alors demandés si l’agence américaine de sécurité NSA était au courant d’une telle vulnérabilité touchant l’ensemble des internautes à travers le monde. Un expert en sécurité déclare d’ailleurs :
Cela ne m’étonnerait pas du tout que la NSA ait découvert cela bien avant nous autres. C’est très certainement le genre de chose qu’elle trouverait particulièrement utile à son arsenal.
Afin de répondre à cette rumeur grandissante, l’agence de presse Bloomerg interroge deux sources anonymes, qui confirment l’inquiétude : la NSA aurait connaissance de ce bug de sécurité, et l’aurait exploité pendant deux ans pour surveiller les internautes et collecter des mots de passe.
Bien entendu, l’agence américaine s’est empressée de nier :
La NSA n’était pas au courant de la vulnérabilité récemment identifiée dans OpenSSL, surnommée faille Heartbleed, jusqu’à ce qu’elle soit rendue publique dans un rapport d’une société privée de sécurité informatique. Les informations faisant état du contraire sont fausses. […] Si le gouvernement fédéral, services de renseignement inclus, avait découvert cette vulnérabilité avant la semaine dernière, il l’aurait signalé à l’équipe d’OpenSSL.
Comment croire la NSA sur parole ?
Le problème de la NSA, c’est que sa parole n’est plus jamais prise au sérieux, notamment depuis les révélations d’Edward Snowden. En effet, on sait aujourd’hui que la NSA met des moyens considérables pour cracker l’ensemble des technologies de chiffrement, dont les plus répandues comme HTTPS et SSL, parfois même en collaboration étroite (et secrète) avec les géants du web et de l’informatique. Les développeurs Windows sont par exemple « assistés » par des agents de la NSA.
L’agence de renseignement a pour mission de protéger le territoire et les citoyens américains, il est donc compliqué pour elle d’avouer une éventuelle implication dans l’exploitation de la faille Heartbleed. Même si légalement, Barack Obama a donné sa permission pour exploiter ce genre de vulnérabilité sans nécessairement en informer le grand public…
Comment ne pas être victime de Heartbleed ?
Malheureusement, il est impossible de revenir en arrière, et de supprimer toutes les données qui ont été subtilisées par ceux qui exploitaient la vulnérabilité Heartbleed.
Les nombreux sites impactés ont désormais fait le nécessaire pour corriger le bug OpenSSL, du moins les plus importants d’entre eux. Le plus avisé est alors de changer l’ensemble des mots de passe personnels permettant d’accéder à nos comptes web. Enfin, par précaution, il peut être utile de vérifier si les sites que l’on visite restent concernés par la faille Heartbleed ou non. Il existe d’ailleurs une petite extension très pratique pour le navigateur Chrome : ChromeBleed.
A titre d’information, l’ensemble des banques française, ainsi que la DGFP (le fisc), déclarent ne pas avoir été impactés par la vulnérabilité SSL qui continue de faire trembler le monde.
Sources: rue89.nouvelobs.com / lesechos.fr
Aucun commentaire