Dans un billet publié lundi 28 avril sur le blog de la Maison Blanche, Michael Daniel, coordinateur de la cybersécurité, admet exploiter des failles de sécurité dans le but de recueillir des informations, avant d’en divulguer l’existence.
Alors que la NSA était accusée il y a quelques jours d’avoir exploité la faille Heartbleed pendant au moins 2 ans pour collecter des données avec la bénédiction de la Maison Blanche, L’agence a décidé de réagir à ces accusations.
Si la NSA reste sur ses positions en niant avoir eu connaissance de la faille Heartbleed de OpenSSL, elle admet cependant avoir parfois connaissance de certaines failles avant leur découverte officielle par des experts en sécurité. Lorsque ces failles permettent de récolter des données visant à garantir la sécurité du pays, l’agence avoue les exploiter avant de les divulguer.
Michael Daniel reconnait que la polémique autour des découvertes concernant la faille Heartbleed relance « le débat pour savoir si le gouvernement fédéral devrait parfois tenir le public à l’écart de la connaissance d’une vulnérabilité informatique ».
Il déclare que « Dans la majorité des cas, divulguer de façon responsable une vulnérabilité nouvellement découverte est clairement dans l’intérêt national » et « la divulgation de vulnérabilités est habituellement logique ». Mais qu’entend-t-il par « dans la majorité des cas » ?
La NSA a été au cœur de nombreuses accusations ces derniers mois, les révélations ne cessent de tomber et son image est fortement entachée. C’est pourquoi l’agence tente de « renouveler [ses] efforts pour mettre en œuvre sa politique existante concernant la révélation de vulnérabilités – afin que chacun puisse avoir confiance en l’intégrité du processus utilisé pour prendre ces décisions ».
« Il y a des pour et des contres légitimes dans la décisions de divulguer, et le compromis entre la divulgation rapide et la retenue pour un temps limité de la connaissance de certaines vulnérabilités peut avoir des conséquences significatives. Divulguer une vulnérabilité peut vouloir dire que nous renonçons à la possibilité de collecter des informations cruciales qui pourraient contrecarrer une attaque terroriste, arrêter le vol de propriété intellectuelle de notre pays, ou même permettre de découvrir des vulnérabilités plus dangereuses qui sont utilisées par des hackers ou d’autres adversaires pour exploiter nos réseaux. »
Il précise : « Construire un énorme stock de vulnérabilités non divulguées, tout en laissant l’Internet vulnérable et le peuple américain non protégé ne serait pas dans l’intérêt de notre sécurité nationale. Mais ce n’est pas pour autant que nous devrions renoncer complètement à cet outil permettant de collecter des renseignements et de mieux protéger notre pays à long terme. »
Ainsi, Washington liste une série de question à se poser avant de décider s’il faut oui ou non, révéler l’existence d’une faille, et donc l’exploiter secrètement ou non :
- Dans quelles proportions le système vulnérable est-il utilisé dans les infrastructures Internet de base, dans d’autres infrastructures critiques, dans l’économie américaine, et/ou dans les systèmes de sécurité nationale ?
- La vulnérabilité, si elle n’est pas patchée, impose-t-elle un risque important ?
- Quel dommage une nation adverse ou un groupe criminel peut-il faire avec la connaissance d’une telle vulnérabilité ?
- Quelle est la probabilité que nous le sachions si quelqu’un d’autre l’a exploitée ?
- A quel point avons-nous besoin des informations que nous pensons pouvoir obtenir en exploitant cette faille ?
- Existe-t-il d’autres moyens de les obtenir ?
- Pouvons-nous exploiter la vulnérabilité pendant une courte période avant de la divulguer ?
- Quelle est la probabilité que quelqu’un d’autre découvre la vulnérabilité ?
- La vulnérabilité peut-elle être corrigée ou atténuée ?