éricaine de sécurité nationale (NSA), le 25 janvier 2006 à Fort Mead, dans le Maryland (Photo : Paul J. Richards) |
[11/04/2014 21:36:54] Washington (AFP) La NSA, l’agence américaine chargée des interceptions de communications, a démenti vendredi des révélations de l’agence Bloomberg selon lesquelles elle avait connaissance et exploité à son profit une importante faille de sécurité dans un logiciel utilisé pour les connexions sécurisées.
Citant “des sources proches du dossier”, l’agence de presse affirme que l’agence de renseignement connaissait depuis “au moins deux ans” l’existence de cette faille, baptisée “Heartbleed”, mais qu’elle ne l’avait pas révélée et s’en était au contraire servi pour récupérer des informations.
La faille “Heartbleed” touche certaines versions d’OpenSSL, un logiciel libre très utilisé pour les connexions sécurisées sur internet, matérialisées par exemple par une adresse démarrant par https ou un petit cadenas lors des transactions bancaires et de l’identification sur un site internet. Son existence a été dévoilée en début de semaine.
“La NSA n’était pas au courant de la vulnérabilité récemment identifiée dans OpenSSL, appelée faille Heartbleed, jusqu’à ce qu’elle soit rendue publique dans un rapport d’une société privée de sécurité informatique. Les informations faisant état du contraire sont fausses”, a déclaré à l’AFP une porte-parole de la NSA, Vanee Vines.
La porte-parole du Conseil de sécurité nationale (NSC, dépendant de la Maison Blanche), Caitlin Hayden, a également démenti que “la NSA ou toute autre branche du gouvernement” aient eu connaissance de la faille.
“Le gouvernement fédéral a lui aussi recours à l’OpenSSL pour protéger les utilisateurs de sites internet gouvernementaux”, dit-elle dans un communiqué.
“Cette administration prend au sérieux sa responsabilité d’aider au maintien d’un internet ouvert, interopérable, sécurisé et sûr. Si le gouvernement fédéral, y compris la communauté du renseignement, avait découvert cette vulnérabilité avant la semaine passée, il en aurait informé la communauté responsable de l’OpenSSL”, assure-t-elle encore.
“Heartbleed” peut permettre à des pirates de récupérer dans la mémoire des serveurs informatiques des données fournies lors de connexions protégées.
Parmi les informations susceptibles d’êtres récupérées figurent le code source (instructions pour le microprocesseur), les mots de passe, et les “clés” utilisées pour déverrouiller des données cryptées ou imiter un site.
Bloomberg soutient que la NSA (Agence nationale de sécurité) a identifié “Heartbleed” juste après son apparition et que cette faille “est devenue une composante de la boîte à outils de l’agence pour dérober des mots de passe”.