Heartbleed faisait-il partie de l'arsenal de la NSA ?
La très peu recommandable agence américaine de renseignements NSA n'a pas bonne presse, et cela ne devrait pas s'arranger suite aux dernières révélations de Bloomberg. D'après deux sources, les grandes oreilles US auraient exploité la faille Heartbleed pendant des années afin d'obtenir en toute discrétion des informations privées. L'agence s'est bien évidemment retenue de prévenir de la dangerosité d'Heartbleed, dont la découverte cette semaine a provoqué un branle-bas de combat sans précédent (lire : Heartbleed : attention à cette méchante faille OpenSSL). La faille majeure, une des plus importantes de l'histoire d'internet, touche les deux tiers des sites web dans le monde - mais pas les services en ligne ni les logiciels d'Apple, tandis que Yahoo, Wunderlist et quelques autres ont commencé à boucher les trous.
S'il s'est avéré que la NSA a tiré parti d'Heartbleed, alors elle a pu infiltrer des milliers de serveurs afin de soutirer les mots de passe et autres données sensibles de millions d'utilisateurs. La recherche de failles dans les systèmes informatiques est une des priorités stratégiques des experts de l'agence, qui compte plus de mille spécialistes en sécurité pour cette seule activité.
Ils auraient découvert la faille Heartbleed peu après son apparition début 2012 - on peut donc penser que la NSA a pu l'utiliser pendant deux ans en toute quiétude. La faille aurait ainsi pu faire partie de l'arsenal de base pour subtiliser les données nécessaires au travail de surveillance; la NSA n'était d'ailleurs peut-être pas la seule agence à mettre à profit cette vulnérabilité, il est possible que d'autres services internationaux de renseignements l'aient également repérée.
Malheureusement, boucher cette faille ne changera pas grand chose aux activités de la NSA : Bloomberg explique que l'agence a sous la main des « milliers » de failles qu'elle peut exploiter à loisir. Et évidemment, il n'est pas dans son intérêt de les dévoiler au grand jour, même si on assure du contraire. Du côté des autorités américaines, on dément que la NSA ou le gouvernement fédéral ait eu connaissance de la faille Heartbleed, avant sa découverte début avril. Si cela avait été le cas, alors l'affaire aurait été révélée à la communauté en charge d'OpenSSL, le protocole utilisé par les autorités, car cela relève de « l'intérêt national de divulguer de manière responsable une vulnérabilité plutôt que de l'utiliser à des buts d'enquêtes ou de surveillance ».
Etonnant qu'Apple se rappelle que SnowLeopard rugit encore!
@r e m y
Oui, le prix de l'abonnement a baissé, et su coup c'est un service devenu plus intéressant.
Ma modeste contribution aux réactions qui n'ont strictement rien a voir avec le sujet.
Désolé mais ce n'est pas du tout à cette news que j'avais réagi.... mais à celle annonçant une mise à jour de FaceTime pour SnowLeopard.
Pourquoi mon commentaire est-il arrivé sur cette News que je n'avais pas encore lue je n'en ai aucune idée.
Il faut croire que les hackers de la NSA remettent les commentaires n'importe où une fois qu'ils les ont lus!
@r e m y
Il y a un bug chez moi, c'est lorsque je me loggue, je ne reste pas dans le même article, mais dans un autre.
En plus le combo contient des articles complètement dans le désordre...
Le but ne la NSA n'est pas d'avoir bonne presse, ils s'en cognent.
@Benckes :
Je ne pense pas que l'auteur de l'article n'écrive ça juste en espérant que la NSA le lise... Mais bon, les trolls, c'est comme les méfaits de la NSA. Ça existera toujours. ;-)
Et leur laïus sur l'intérêt national.
C'est du libre, ils ont bien pu corriger la faille eux même pour les agences gouvernementales ...
Bien sûr qu il la connaissait, ils ont les meilleurs hackeurs et grâce à ça ils pouvaient surveiller bon nombre de personnes et d entreprises
La NSA surveille, tous les moyens sont bons.
C'est normal, non ? Il me semble que cette organisation sert à ça.
Je ne comprends pas ces soi-disant scandales à répétition.
J'espère même qu'en France on a fait pareil.
Le jour où j'aurai des trucs à protéger j'utiliserai un papier et un crayon.
Mon compte en banque : tellement insignifiant.
les CDs achetés sur Amazon : idem.
Mes cours sur mon DD : idem.
Mes photos/vidéos de famille : idem.
...
Par contre ça empêchera pas un avion de disparaître... Quelle ironie tout ça !
"La NSA surveille, tous les moyens sont bons.
C'est normal, non ? Il me semble que cette organisation sert à ça."
Oui.
"Je ne comprends pas ces soi-disant scandales à répétition."
Atteinte aux liberté fondamentales, à la neutralité du Net. Non respect de la vie privée, etc.
S'il n'est pas constructif de s'enivrer dans des scandales polémiquants, il y a matière à interrogation profonde sur le bien fondé de ces organisations, ainsi qu'aux justifications de leurs agissements.
"J'espère même qu'en France on a fait pareil."
On fait pareil en France.
"Le jour où j'aurai des trucs à protéger j'utiliserai un papier et un crayon."
Il n'est PAS normal que cela devienne nécessaire.
"Mon compte en banque : tellement insignifiant.
les CDs achetés sur Amazon : idem.
Mes cours sur mon DD : idem.
Mes photos/vidéos de famille : idem."
Ce n'est PAS insignifiant.
C'est données permettent d'établir un profil de ta personne, puis des profils globaux sur une population.
L'intérêt ? Plein de choses : de la manipulation de masse jusqu'à l'espionnage ciblé en passant par la publicité.
La NSA, la DGSE, le GCHQ une régie publicitaire ou le FCB se foutent complètement de savoir que tu es allé dans le restaurent chinois de ta ville avant-hiers, mais savoir que aimes le restaurent chinois est potentiellement intéressant.
--
Il n'y a pas une surveillance systématique de chacun de nous, mais une surveillance globale, par regroupement de données diverses et variées, qui peut se transformer en surveillance rapprochée pour des individus ciblés.
--
"Par contre ça empêchera pas un avion de disparaître... Quelle ironie tout ça !"
La NSA a déjà empêché un détournement d'avion ?
Elle a déjà évité un crash aérien ?
Elle a permis d'éviter des attentats ?
……
Elle évite à des gens de se faire éliminer, sans le moindre procès juste, par les drones de la CIA ?
--
Le bien fondé des Renseignements Généraux est très discutable et n'est en aucun cas acquis.
--
Avec une faille telle que celle d'OpenSSL, il est inévitable de s'interroger, d'investiguer et d'informer sur une éventuelle exploitation de celle-ci par les RG — de TOUS les pays — et, le cas échéant, sur son ampleur.
--
Les scandales "complotistes" ou destinés à faire peur ne doivent en aucun cas être une raison de ne pas s'informer.
FSB* et non FCB, autant pour moi.
"Le jour où j'aurai des trucs à protéger j'utiliserai un papier et un crayon."
(smog)
"Avec deux lignes d’écriture d’un homme, on peut faire le procès du plus innocent."
(Cardinal de Richelieu)
Il me semble que la citation exacte du Cardinal est:
Qu'on me donne six lignes écrites de la main du plus honnête homme, j'y trouverai de quoi le faire pendre.
Il me semblait aussi, mais c'est la seule version référencée que j'ai trouvée : Françoise de Motteville, Mémoires pour servir à l'Histoire d'Anne d'Autriche.
La autres sont de possibles variations, l'idée restant la même.
C'est assez effrayant, mais il y a des personnes derrière tout cela, donc il n'est pas impossible que leurs failles finissent par être révélées. Il doit bien y avoir un Snowden en puissance au département concerné.
(à la rédac : pas drôle le bug qui fait que je commente un autre article que celui que je croyais...)
Quand on se log on se retrouve sur un autre sujet, assez bizzare les 1ières fois. :p
chez moi ça m'arrive systématiquement...
pourquoi la NSA aurait signalé une faille dans une protocole qui lui permettait de faire le boulot pour lequel elle c'est elle-même mandaté. surtout que des ingénieurs des agence gouvernementales américaines sont des contributeur assidus de projet comme openSSH.
Je ne dis pas que c'est le cas mais je ne serais pas étonné qu'on découvre que la NSA à participé à l'élaboration de OpenSSH.
On sais parfaitement que nombre de virus et failles sont délibérément placé par les services d'espionnage de tous pays (y compris le notre) dans divers système.
le but de grandes oreilles étant de capter le maximum de communication quel meilleur moyen que ce participer au projet de sécurité des échanges le plus répandu, et d'y injecter un une porte dérobée pour atteindre son but.
Je n'ai aucune idée d'où viens cette faille. mais il n'y aurais rien d'étonnant qu'elle soit l'oeuvre d'un service d'espionnage quelconque.
A+JYT
Ou alors plus simplement d'un programmateur qui a fait une erreur. Allez, je cite un nom au hasard: Robin Seggelmann
Il travail quand même pour une société qui appartient au gouvernement allemand ( http://www.t-systems.com/ ) et le gars qui devait vérifier son code habite juste à côté du GCHQ. :)
Dans ce pays on ferait mieux de s’intéresser à ce que font dans l'ombre et le silence assourdissant des médias les services de renseignement français. La NSA, l'arbre qui cache la forêt.
Ne pas le faire aurait été une faute professionnelle.
Les gouvernements (us, fr, ...) ont-ils été victime de cette faille ?
NSA : une faille ? Quelle faille ?
http://www.lemonde.fr/technologies/article/2014/04/12/la-nsa-accusee-d-avoir-profite-de-la-faille-de-securite-heartbleed_4400160_651865.html
OH MON DIEU !!!
La NSA a maintenant mon mot de passe Paypal et va me voler tout mon argent !!!!
OH MON DIEU !!!
La NSA a maintenant mon mot de passe Facebook et va liker les pages d'actrices porno à ma place !!!!
OH MON DIEU !!!
La NSA a maintenant mon mot de passe Twitter et va tweeter n'importe quoi en turque et afghan et même en polonais !!!!!
OH MON DIEU !!!
Tout le monde a une vie totalement inutile aux yeux de la NSA, alors arretez de vous croire aussi important qu'un président ou un taliban extremiste.
(Et comme si il y avait assez d'employés chez eux pour lire toutes les discussions du monde...)
"Et comme si il y avait assez d'employés chez eux pour lire toutes les discussions du monde"
PERSONNE à la NSA ne lit toutes les conversations de tout le monde.
C'est de l'analyse GLOBALE.
--
Ma vie n'a aucun intérêt pour la NSA-DGSE-GCHQ-FSB-MSS-BND-BjV-DGSI-CIA-MI6-Mossad-Guoanbu-IRD.
NOS vies ont un GRAND intérêt pour quiconque voudrai faire de la manipulation de masse, du contrage de révolte(s), de la soumission d'un peuple. Savoir ce que fond les gens, ce qu'il aiment, ce qui les attire massivement est TRÈS important.
Pour la suite, voir mon commentaire plus haut.
Je suis d'accord avec toi sur le fait que le NET n'est pas là pour ça. Mais qu'est-ce qu'une agence de sécurité a à se préoccuper des "règles", par définition ? Je le déplore autant que toi, mais je suis réaliste. C'est leur rôle, encore une fois... Même si ça me déplait.
L'exploitation de mes données par les multinationales commerciales me gêne plus que si c'est par la NSA ou la DGSE dans la mesure où je n'ai rien à me reprocher.
Pour l'avion, c'était aussi pour dire que derrière tout ça, il y a des hommes, qui ont leurs faiblesses, et toutes ces infos globalisées récupérées n'empêchent pas le bon sens de beaucoup de personnes qui réfléchissent (dont toi). Là est le salut !
Et pour la manipulation de masse, juste pour prendre le cas français : Education Nationale (je sais de quoi je parle), médias font beaucoup (plus ?) de dégâts... Mais je n'irai pas plus loin ;-)