Points de vue alternatifs

Analyse et veille des médias internationaux : géopolitique, économie, numérique...


Heartbleed : La NSA exploitait la faille depuis au moins 2 ans

Publié par Kiergaard sur 11 Avril 2014, 20:35pm

Catégories : #Numérique

Heartbleed : La NSA exploitait la faille depuis au moins 2 ans

L'agence Bloomberg rapporte que la NSA a exploité la faille géante, Heartbleed, découverte dernièrement "pendant au moins 2 ans" (soit depuis les débuts de la faille en réalité).

 

Édit : La porte-parole du Conseil de Sécurité Nationale a apporté un démenti sur les informations publiées par le journal Bloomberg (qui par extension comprend les déclarations des autres intervenants corroborant les propos des sources). Démenti de pure forme probablement.
 

Citant 2 personnes familières avec la question, Bloomberg affirme que la NSA avait connaissance de la faille depuis deux ans et que cette dernière a été utilisée pour obtenir des renseignements essentiels. Des impératifs de "sécurité nationale" (comprendre l'avantage compétitif induit sur les autres services, au courant ou non également) ont justifié la décision de ne pas dévoiler cette faille de sécurité. Cette décision risque néanmoins d'alimenter une sévère polémique. En effet, pour obtenir ces avantages en matière de renseignement, la NSA a décidé de rendre vulnérables aux attaques de pirates ou d'agences étrangères des millions d'utilisateurs.

"Cela va à l'encontre des déclarations de l'agence selon lesquelles la défense passe en premier" d'après Jason Healy ancien officier de cybersécurité de l'armée de l'air. "La mission offensive l'emporte" déclare John Pescatore, ancien de la NSA. Les millions de dollars consacrés à traquer les failles logicielles semblent aboutir à la question suivante lorsque ces dernières sont détectées : "Devons nous en profiter ou non ?" D'après James Lewis, responsable au Center for Strategic and International Studies, lorsque l'agence trouve une faille d'une telle ampleur, il y a tout un processus qui fait que l'info prend le chemin du bureau du directeur de l'agence. Sont alors posées les questions suivantes : Qui peut l'avoir décelé ? qui peut l'utiliser ? Qu'elle est le risque pour le pays. Ensuite la NSA dispose d'une gamme d'options sur comment exploiter la faille pour un laps de temps relativement court avant de prendre discrètement contact avec le fabricant ou des chercheurs pour régler le problème. Dans ce cas précis la durée de l'exploitation interroge sensiblement. La NSA peut très bien être à l'origine de la révélation, ou avoir été devancée par les chercheurs en sécurité informatique.

Cela pose aussi la question de la disproportion des moyens entre les quelques chercheurs "sous-financés" de qui dépendent l'intégrité des logiciels open sources et le gros millier d'experts embauchés par la NSA pour traquer ces failles (et les exploiter). Plus généralement cela pose la question de la confiance dans les concepteurs de matériels informatiques. 

Il semblerait que cette faille soit devenu l'un des éléments de base de sa boîte à outils pour dérober des mots de passe et d'autres activités, selon l'une des sources interrogées.

Le groupe de travail sur la NSA avait proposé que l'agence se focalise sur la correction des défauts des logiciels plutôt que sur leur exploitation. Actuellement rien n'a encore été modifié. D'après une source, la NSA disposerait d'un "trésor de milliers de ces vulnérabilités" qu'elle pourrait exploiter à sa guise. Sa capacité d'action pourrait être fortement réduite si leur utilisation était interdite d'après ses resposables

[Les États-Unis pourraient peser les arguments suivants :
- Éviter de se faire détester du monde entier en intervenant à tout va dans les affaires des autres états.
- Mobiliser ses experts pour assurer le service après-vente de ses interventions directes ou indirectes pour éviter que ne ressurgissent des foyers terroristes.]

 

 


 

 

Archives

Nous sommes sociaux !

Articles récents