Heartbleed : la NSA aurait exploité la faille pendant 2 ans

Rédigé par Clarisse de Nordnet 14 avril 2014

Alors que le monde entier découvrait la semaine dernière l’existence d’une importante faille au sein d’OpenSSL, le protocole de cryptage utilisé pour protéger nos données personnelles, la NSA est accusé d’en avoir eu connaissance et de l’avoir exploitée, faisant ainsi courir des risques majeurs aux internautes et entreprises.

Selon l’agence de presse Bloomberg, qui se base sur deux sources proches du dossier, la NSA aurait eu connaissance de la faille Heartbleed il y a « au moins deux ans », c’est-à-dire depuis le début, et l’aurait exploitée régulièrement pour collecter des données.

Alors que la faille a touché des millions d’entreprise et d’internautes et qu’un correctif a été déployé en urgence dès sa découverte, la NSA aurait préféré garder pour elle cette information pour pouvoir l’exploiter, au risque que d’autres agences gouvernementales et individus malveillants n’en fassent autant.

Depuis que le programme de surveillance de la NSA a été mis à jour, la NSA est vivement critiquée. Aujourd’hui, au-delà de l’espionnage de masse, elle est désormais accusée d’avoir manqué à son devoir de protection des intérêts américains.

De son côté, la NSA a vivement démenti l’information vendredi : « La NSA n’était pas au courant de la vulnérabilité récemment identifiée dans OpenSSL, appelée faille Heartbleed, jusqu’à ce qu’elle soit rendue publique dans un rapport d’une société privée de sécurité informatique. Les informations faisant état du contraire sont fausses. » Mais ce démenti ne convainc pas. La NSA ne pourrait pas avouer avoir eu connaissance de la faille sans provoquer une crise dans le monde entier.

Un porte-parole du Conseil de sécurité nationale a également démenti que « la NSA ou toute autre branche du gouvernement » aient eu connaissance de la faille. « Le gouvernement fédéral a lui aussi recours à l’OpenSSL pour protéger les utilisateurs de sites internet gouvernementaux. Cette administration prend au sérieux sa responsabilité d’aider au maintien d’un internet ouvert, interopérable, sécurisé et sûr. Si le gouvernement fédéral, y compris la communauté du renseignement, avait découvert cette vulnérabilité avant la semaine passée, il en aurait informé la communauté responsable de l’OpenSSL. »

Article précédent

HeartBleed : la faille OpenSSL à corriger d’urgence !

Article suivant

TF1 oublie de renouveler son nom de domaine WAT.TV

Laissez un commentaire Annuler la réponse

Nordnet se réserve le droit de publier ou de ne pas publier le commentaire. Le champ du commentaire n’est pas destiné à recevoir une question liée à de l’aide ou de l’assistance. Si vous avez besoin d’aide, vous pouvez consulter la page d’assistance disponible sur le site de Nordnet.com à l’adresse : https://assistance.nordnet.com/ ou contacter le service clients (appel non surtaxé) au 3420.

Ces informations sont nécessaires au traitement de votre commentaire à moins qu’elles ne soient indiquées comme étant facultatives. Elles font l’objet d’un traitement informatisé, sous la responsabilité du PDG de Nordnet chargés de l’exécution de votre demande et de toute suite qui pourraient en résulter. Conformément aux dispositions légales et réglementaires applicables, vous disposez notamment d’un droit d’accès, de rectification, d’opposition, pour des motifs légitimes, au traitement de ces informations, à la transmission à des tiers des informations vous concernant, ou à la réception d’informations commerciales. Pour exercer vos droits, veuillez adresser un courrier à Nordnet Pôle Clients – 20 rue Denis Papin – CS 20458 – 59664 Villeneuve d’Ascq Cedex, ou un courriel à l’adresse : coordonnees@nordnet.com en justifiant de votre identité et en précisant le cas échéant les coordonnées, le média et le contrat concernés (seules les demandes portant sur les données personnelles recevront une réponse). Sans préjudice des obligations de conservation, ces informations ne sont conservées, en base active, sous une forme permettant l’identification que pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. En complément de ce qui précède, consultez notre politique de traitement des données à caractère personnel de Nordnet.