Dans un billet publié lundi 28 avril sur le blog de la Maison Blanche, Michael Daniel, coordinateur de la cybersécurité, admet exploiter des failles de sécurité dans le but de recueillir des informations, avant d’en divulguer l’existence.
Alors que la NSA était accusée il y a quelques jours d’avoir exploité la faille Heartbleed pendant au moins 2 ans pour collecter des données avec la bénédiction de la Maison Blanche, L’agence a décidé de réagir à ces accusations.
Si la NSA reste sur ses positions en niant avoir eu connaissance de la faille Heartbleed de OpenSSL, elle admet cependant avoir parfois connaissance de certaines failles avant leur découverte officielle par des experts en sécurité. Lorsque ces failles permettent de récolter des données visant à garantir la sécurité du pays, l’agence avoue les exploiter avant de les divulguer.
Michael Daniel reconnait que la polémique autour des découvertes concernant la faille Heartbleed relance « le débat pour savoir si le gouvernement fédéral devrait parfois tenir le public à l’écart de la connaissance d’une vulnérabilité informatique ».
Il déclare que « Dans la majorité des cas, divulguer de façon responsable une vulnérabilité nouvellement découverte est clairement dans l’intérêt national » et « la divulgation de vulnérabilités est habituellement logique ». Mais qu’entend-t-il par « dans la majorité des cas » ?
La NSA a été au cœur de nombreuses accusations ces derniers mois, les révélations ne cessent de tomber et son image est fortement entachée. C’est pourquoi l’agence tente de « renouveler [ses] efforts pour mettre en œuvre sa politique existante concernant la révélation de vulnérabilités – afin que chacun puisse avoir confiance en l’intégrité du processus utilisé pour prendre ces décisions ».
« Il y a des pour et des contres légitimes dans la décisions de divulguer, et le compromis entre la divulgation rapide et la retenue pour un temps limité de la connaissance de certaines vulnérabilités peut avoir des conséquences significatives. Divulguer une vulnérabilité peut vouloir dire que nous renonçons à la possibilité de collecter des informations cruciales qui pourraient contrecarrer une attaque terroriste, arrêter le vol de propriété intellectuelle de notre pays, ou même permettre de découvrir des vulnérabilités plus dangereuses qui sont utilisées par des hackers ou d’autres adversaires pour exploiter nos réseaux. »
Il précise : « Construire un énorme stock de vulnérabilités non divulguées, tout en laissant l’Internet vulnérable et le peuple américain non protégé ne serait pas dans l’intérêt de notre sécurité nationale. Mais ce n’est pas pour autant que nous devrions renoncer complètement à cet outil permettant de collecter des renseignements et de mieux protéger notre pays à long terme. »
Ainsi, Washington liste une série de question à se poser avant de décider s’il faut oui ou non, révéler l’existence d’une faille, et donc l’exploiter secrètement ou non :
- Dans quelles proportions le système vulnérable est-il utilisé dans les infrastructures Internet de base, dans d’autres infrastructures critiques, dans l’économie américaine, et/ou dans les systèmes de sécurité nationale ?
- La vulnérabilité, si elle n’est pas patchée, impose-t-elle un risque important ?
- Quel dommage une nation adverse ou un groupe criminel peut-il faire avec la connaissance d’une telle vulnérabilité ?
- Quelle est la probabilité que nous le sachions si quelqu’un d’autre l’a exploitée ?
- A quel point avons-nous besoin des informations que nous pensons pouvoir obtenir en exploitant cette faille ?
- Existe-t-il d’autres moyens de les obtenir ?
- Pouvons-nous exploiter la vulnérabilité pendant une courte période avant de la divulguer ?
- Quelle est la probabilité que quelqu’un d’autre découvre la vulnérabilité ?
- La vulnérabilité peut-elle être corrigée ou atténuée ?
Nordnet se réserve le droit de publier ou de ne pas publier le commentaire. Le champ du commentaire n’est pas destiné à recevoir une question liée à de l’aide ou de l’assistance. Si vous avez besoin d’aide, vous pouvez consulter la page d’assistance disponible sur le site de Nordnet.com à l’adresse : https://assistance.nordnet.com/ ou contacter le service clients (appel non surtaxé) au 3420.
Ces informations sont nécessaires au traitement de votre commentaire à moins qu’elles ne soient indiquées comme étant facultatives. Elles font l’objet d’un traitement informatisé, sous la responsabilité du PDG de Nordnet chargés de l’exécution de votre demande et de toute suite qui pourraient en résulter. Conformément aux dispositions légales et réglementaires applicables, vous disposez notamment d’un droit d’accès, de rectification, d’opposition, pour des motifs légitimes, au traitement de ces informations, à la transmission à des tiers des informations vous concernant, ou à la réception d’informations commerciales. Pour exercer vos droits, veuillez adresser un courrier à Nordnet Pôle Clients – 20 rue Denis Papin – CS 20458 – 59664 Villeneuve d’Ascq Cedex, ou un courriel à l’adresse : coordonnees@nordnet.com en justifiant de votre identité et en précisant le cas échéant les coordonnées, le média et le contrat concernés (seules les demandes portant sur les données personnelles recevront une réponse). Sans préjudice des obligations de conservation, ces informations ne sont conservées, en base active, sous une forme permettant l’identification que pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. En complément de ce qui précède, consultez notre politique de traitement des données à caractère personnel de Nordnet.