La NSA nie avoir utilisé la faille Heartbleed ces dernières années

La faille Heartbleed a été dévoilée cette semaine et a fait beaucoup de bruit suite à son impact. Elle se situe au niveau d’OpenSSL, un système utilisé par de nombreux sites Internet pour sécuriser les connexions et par conséquent les données. La faille permet à des hackeurs de récupérer plusieurs informations personnelles, sans pour autant que la personne affectée ne soit mise au courant, tout comme le site. Depuis, de nombreux sites ont fait le nécessaire pour tout corriger, dont les plus importants comme Facebook, Yahoo, et autres.

Hier soir, Bloomberg annonçait que la NSA était au courant de cette faille de sécurité depuis au moins deux ans. L’agence nationale de renseignement américaine l’aurait même exploité pour pouvoir récupérer des informations sur n’importe quel individu. La faille aurait été gardée secrète afin de pouvoir continuer à l’utiliser sans alerter les administrateurs réseau. La NSA aurait très bien pu aller jeter un coup d’œil sur les comptes Gmail et autres pour voir ce que telle ou telle personne disait à ses contacts, afin de l’espionner.

Suite à la publication, la NSA a démenti. Dans un communiqué, elle explique ne pas avoir été « au courant de la vulnérabilité récemment identifiée dans OpenSSL jusqu’à ce qu’elle soit rendue publique dans un rapport d’une société privée de sécurité informatique ». Elle ajoute que « les informations faisant état du contraire sont fausses ». De son côté, le Conseil de sécurité nationale, dépendant de la Maison Blanche, dément à son tour les propos de Bloomberg. « Si le gouvernement fédéral, y compris la communauté du renseignement, avait découvert cette vulnérabilité avant la semaine passée, il en aurait informé la communauté responsable de l’OpenSSL ».

Il n’est pas impossible que la NSA ait réellement eu connaissance de cette faille avant qu’elle ne soit révélée au grand public. Il faudra néanmoins se satisfaire des commentaires de l’agence de renseignements américaine.