Fermer le menu
 

Heartbleed faisait-il partie de l'arsenal de la NSA ?

Mickaël Bazoge | | 07:43 |  29

La très peu recommandable agence américaine de renseignements NSA n'a pas bonne presse, et cela ne devrait pas s'arranger suite aux dernières révélations de Bloomberg. D'après deux sources, les grandes oreilles US auraient exploité la faille Heartbleed pendant des années afin d'obtenir en toute discrétion des informations privées. L'agence s'est bien évidemment retenue de prévenir de la dangerosité d'Heartbleed, dont la découverte cette semaine a provoqué un branle-bas de combat sans précédent (lire : Heartbleed : attention à cette méchante faille OpenSSL). La faille majeure, une des plus importantes de l'histoire d'internet, touche les deux tiers des sites web dans le monde - mais pas les services en ligne ni les logiciels d'Apple, tandis que Yahoo, Wunderlist et quelques autres ont commencé à boucher les trous.

S'il s'est avéré que la NSA a tiré parti d'Heartbleed, alors elle a pu infiltrer des milliers de serveurs afin de soutirer les mots de passe et autres données sensibles de millions d'utilisateurs. La recherche de failles dans les systèmes informatiques est une des priorités stratégiques des experts de l'agence, qui compte plus de mille spécialistes en sécurité pour cette seule activité.

Ils auraient découvert la faille Heartbleed peu après son apparition début 2012 - on peut donc penser que la NSA a pu l'utiliser pendant deux ans en toute quiétude. La faille aurait ainsi pu faire partie de l'arsenal de base pour subtiliser les données nécessaires au travail de surveillance; la NSA n'était d'ailleurs peut-être pas la seule agence à mettre à profit cette vulnérabilité, il est possible que d'autres services internationaux de renseignements l'aient également repérée.

Malheureusement, boucher cette faille ne changera pas grand chose aux activités de la NSA : Bloomberg explique que l'agence a sous la main des « milliers » de failles qu'elle peut exploiter à loisir. Et évidemment, il n'est pas dans son intérêt de les dévoiler au grand jour, même si on assure du contraire. Du côté des autorités américaines, on dément que la NSA ou le gouvernement fédéral ait eu connaissance de la faille Heartbleed, avant sa découverte début avril. Si cela avait été le cas, alors l'affaire aurait été révélée à la communauté en charge d'OpenSSL, le protocole utilisé par les autorités, car cela relève de « l'intérêt national de divulguer de manière responsable une vulnérabilité plutôt que de l'utiliser à des buts d'enquêtes ou de surveillance ».

Catégorie : 
Tags : 

Les derniers dossiers

29 Commentaires

avatar r e m y 12/04/2014 - 08:11

Etonnant qu'Apple se rappelle que SnowLeopard rugit encore!

avatar Bigdidou 12/04/2014 - 09:40via iGeneration pour iPad

@r e m y
Oui, le prix de l'abonnement a baissé, et su coup c'est un service devenu plus intéressant.

Ma modeste contribution aux réactions qui n'ont strictement rien a voir avec le sujet.

avatar r e m y 12/04/2014 - 10:24

Désolé mais ce n'est pas du tout à cette news que j'avais réagi.... mais à celle annonçant une mise à jour de FaceTime pour SnowLeopard.

Pourquoi mon commentaire est-il arrivé sur cette News que je n'avais pas encore lue je n'en ai aucune idée.
Il faut croire que les hackers de la NSA remettent les commentaires n'importe où une fois qu'ils les ont lus!

avatar XiliX 12/04/2014 - 12:52

@r e m y
Il y a un bug chez moi, c'est lorsque je me loggue, je ne reste pas dans le même article, mais dans un autre.
En plus le combo contient des articles complètement dans le désordre...

avatar Benckes 12/04/2014 - 08:32via iGeneration pour iOS

Le but ne la NSA n'est pas d'avoir bonne presse, ils s'en cognent.

avatar mccawley2012 12/04/2014 - 09:21via iGeneration pour iOS

@Benckes :
Je ne pense pas que l'auteur de l'article n'écrive ça juste en espérant que la NSA le lise... Mais bon, les trolls, c'est comme les méfaits de la NSA. Ça existera toujours. ;-)

avatar pacou 12/04/2014 - 08:55via iGeneration pour iPad

Et leur laïus sur l'intérêt national.
C'est du libre, ils ont bien pu corriger la faille eux même pour les agences gouvernementales ...

avatar Ginger bread 12/04/2014 - 09:09via iGeneration pour iOS

Bien sûr qu il la connaissait, ils ont les meilleurs hackeurs et grâce à ça ils pouvaient surveiller bon nombre de personnes et d entreprises

avatar smog 12/04/2014 - 09:40

La NSA surveille, tous les moyens sont bons.
C'est normal, non ? Il me semble que cette organisation sert à ça.
Je ne comprends pas ces soi-disant scandales à répétition.
J'espère même qu'en France on a fait pareil.

Le jour où j'aurai des trucs à protéger j'utiliserai un papier et un crayon.
Mon compte en banque : tellement insignifiant.
les CDs achetés sur Amazon : idem.
Mes cours sur mon DD : idem.
Mes photos/vidéos de famille : idem.
...
Par contre ça empêchera pas un avion de disparaître... Quelle ironie tout ça !

avatar patrick86 12/04/2014 - 10:25

"La NSA surveille, tous les moyens sont bons.
C'est normal, non ? Il me semble que cette organisation sert à ça."

Oui.

"Je ne comprends pas ces soi-disant scandales à répétition."

Atteinte aux liberté fondamentales, à la neutralité du Net. Non respect de la vie privée, etc.
S'il n'est pas constructif de s'enivrer dans des scandales polémiquants, il y a matière à interrogation profonde sur le bien fondé de ces organisations, ainsi qu'aux justifications de leurs agissements.

"J'espère même qu'en France on a fait pareil."

On fait pareil en France.

"Le jour où j'aurai des trucs à protéger j'utiliserai un papier et un crayon."

Il n'est PAS normal que cela devienne nécessaire.

"Mon compte en banque : tellement insignifiant.
les CDs achetés sur Amazon : idem.
Mes cours sur mon DD : idem.
Mes photos/vidéos de famille : idem."

Ce n'est PAS insignifiant.
C'est données permettent d'établir un profil de ta personne, puis des profils globaux sur une population.
L'intérêt ? Plein de choses : de la manipulation de masse jusqu'à l'espionnage ciblé en passant par la publicité.

La NSA, la DGSE, le GCHQ une régie publicitaire ou le FCB se foutent complètement de savoir que tu es allé dans le restaurent chinois de ta ville avant-hiers, mais savoir que aimes le restaurent chinois est potentiellement intéressant.

--

Il n'y a pas une surveillance systématique de chacun de nous, mais une surveillance globale, par regroupement de données diverses et variées, qui peut se transformer en surveillance rapprochée pour des individus ciblés.

--

"Par contre ça empêchera pas un avion de disparaître... Quelle ironie tout ça !"

La NSA a déjà empêché un détournement d'avion ?
Elle a déjà évité un crash aérien ?
Elle a permis d'éviter des attentats ?
……
Elle évite à des gens de se faire éliminer, sans le moindre procès juste, par les drones de la CIA ?

--

Le bien fondé des Renseignements Généraux est très discutable et n'est en aucun cas acquis.

--

Avec une faille telle que celle d'OpenSSL, il est inévitable de s'interroger, d'investiguer et d'informer sur une éventuelle exploitation de celle-ci par les RG — de TOUS les pays — et, le cas échéant, sur son ampleur.

--

Les scandales "complotistes" ou destinés à faire peur ne doivent en aucun cas être une raison de ne pas s'informer.

avatar patrick86 12/04/2014 - 10:49

FSB* et non FCB, autant pour moi.

avatar Moonwalker 12/04/2014 - 13:33

"Le jour où j'aurai des trucs à protéger j'utiliserai un papier et un crayon."
(smog)

"Avec deux lignes d’écriture d’un homme, on peut faire le procès du plus innocent."
(Cardinal de Richelieu)

avatar DVP 12/04/2014 - 21:04

Il me semble que la citation exacte du Cardinal est:
Qu'on me donne six lignes écrites de la main du plus honnête homme, j'y trouverai de quoi le faire pendre.

avatar Moonwalker 14/04/2014 - 12:39

Il me semblait aussi, mais c'est la seule version référencée que j'ai trouvée : Françoise de Motteville, Mémoires pour servir à l'Histoire d'Anne d'Autriche.

La autres sont de possibles variations, l'idée restant la même.

avatar PiRMeZuR 12/04/2014 - 10:06

C'est assez effrayant, mais il y a des personnes derrière tout cela, donc il n'est pas impossible que leurs failles finissent par être révélées. Il doit bien y avoir un Snowden en puissance au département concerné.

avatar heret 12/04/2014 - 10:36

(à la rédac : pas drôle le bug qui fait que je commente un autre article que celui que je croyais...)

avatar Trollolol 12/04/2014 - 10:56

Quand on se log on se retrouve sur un autre sujet, assez bizzare les 1ières fois. :p

avatar XiliX 12/04/2014 - 12:54

chez moi ça m'arrive systématiquement...

avatar sekaijin 12/04/2014 - 11:23

pourquoi la NSA aurait signalé une faille dans une protocole qui lui permettait de faire le boulot pour lequel elle c'est elle-même mandaté. surtout que des ingénieurs des agence gouvernementales américaines sont des contributeur assidus de projet comme openSSH.

Je ne dis pas que c'est le cas mais je ne serais pas étonné qu'on découvre que la NSA à participé à l'élaboration de OpenSSH.

On sais parfaitement que nombre de virus et failles sont délibérément placé par les services d'espionnage de tous pays (y compris le notre) dans divers système.

le but de grandes oreilles étant de capter le maximum de communication quel meilleur moyen que ce participer au projet de sécurité des échanges le plus répandu, et d'y injecter un une porte dérobée pour atteindre son but.

Je n'ai aucune idée d'où viens cette faille. mais il n'y aurais rien d'étonnant qu'elle soit l'oeuvre d'un service d'espionnage quelconque.

A+JYT

avatar Hugo1978 12/04/2014 - 11:57

Ou alors plus simplement d'un programmateur qui a fait une erreur. Allez, je cite un nom au hasard: Robin Seggelmann

avatar Trollolol 12/04/2014 - 12:27

Il travail quand même pour une société qui appartient au gouvernement allemand ( http://www.t-systems.com/ ) et le gars qui devait vérifier son code habite juste à côté du GCHQ. :)

avatar Orus 12/04/2014 - 13:04

Dans ce pays on ferait mieux de s’intéresser à ce que font dans l'ombre et le silence assourdissant des médias les services de renseignement français. La NSA, l'arbre qui cache la forêt.

avatar Moonwalker 12/04/2014 - 13:26

Ne pas le faire aurait été une faute professionnelle.

avatar geranium 12/04/2014 - 13:32

Les gouvernements (us, fr, ...) ont-ils été victime de cette faille ?

avatar Moonwalker 12/04/2014 - 16:43

Pages