Heartbleed, promptement exploité par… La NSA

heartbleed

Evidemment. C'eût été dommage de ne pas profiter de ce trou béant mettant à mal Open SSL. Car si la faille Heartbleed est inquiétante pour les internautes, la NSA, elle, en a amplement compris la portée stratégique.

OpenSSL fonctionne très bien en théorie, mais à cause d’une erreur de codage mineure, et les exploits résultent de là, des gens malveillants peuvent abuser de certaines (et populaires !) versions d’OpenSSL. Ceux-ci peuvent alors intercepter des données privées qui devraient être sécurisées par le code TLS / SSL.

Open SSL est employé pour apporter la connectivité HTTPS à près de 65 % des sites web à travers le monde… Du pain béni pour la NSA,  qui était au courant de l’existence de cette vulnérabilité depuis deux ans. Evidemment,  l’instance gouvernementale dément, non pas qu’ils soient à ça près pourtant…

« Les rapports indiquant que la NSA ou toute autre partie du gouvernement étaient au courant de la vulnérabilité dite Heartbleed avant avril 2014 ont tort. Le gouvernement fédéral n’était pas au courant de la vulnérabilité récemment identifiée dans OpenSSL jusqu’à ce qu’elle ait été rendue publique dans un rapport de cybersécurité en provenance du secteur privé. »

« Si le gouvernement fédéral, y compris la communauté du renseignement, avait découvert cette vulnérabilité avant la semaine dernière, il l’aurait divulguée aux responsables d’OpenSSL. »

Au lieu d’exploiter ces failles, nous pensions naïvement que le devoir du gouvernement était plutôt de s’assurer qu’elles ne soient comblées. Qu’importe, car comble de l’ironie, la NSA déclare qu’elle n’abuserait effectivement pas de ce type d’exploit,

« Sauf si la sécurité nationale est en jeu, ou si la faille permet de faciliter l’application de la loi »

Ce qui est somme toute contradictoire avec les précédentes déclarations. Mais qui s’en étonnera.

Tags :
Dernières Questions sur UberGizmo Help

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité