La "découverte" de la faille Heartbleed qui touche de très nombreux sites Web est peut-être à l'origine une erreur "triviale" avec un fort impact mais c'est un erreur que semblait bien connaître la NSA et qu'elle a régulièrement exploitée.

C'est ce que suggère l'agence Bloomberg en affirmant d'après des sources anonymes que l'agence de renseignement américaine en avait connaissance depuis au moins de deux ans et qu'elle l'a utilisée à de nombreuses reprises pour collecter des données.

Heartbleed-bug-logo  Elle a pourtant démenti avoir eu connaissance de ce bug avant sa mise en évidence au début du mois d'avril. Mais d'après les informations de Bloomberg, cette faille permettant de passer outre les mécanismes de chiffrement SSL de nombreux sites faisait partie de l'arsenal de mesure de récupération d'information de la NSA, même si elle n'est sans doute pas la seule agence de renseignement à l'avoir régulièrement utilisée, avec les risques que cela comporte étant donné l'impact massif de Heartbleed.

La recherche systématique de ce type de faille constitue l'un des axes stratégiques de la NSA pour sa collecte d'information et l'agence aurait ainsi préféré laissé cette faille exploitable et pratique, même par d'autres agences de renseignement ou des criminels, plutôt que d'en dévoiler l'existence.

Une fois de plus, le fonctionnement de la NSA est mis en cause et sa procédure de révélation des failles repérées. Les représentants de l'agence indiquent qu'il existe une procédure stricte pour déterminer si un bug logiciel découvert doit faire l'objet d'une annonce publique ou rester secret au nom de l'interêt national mais avec la découverte de Heartbleed, la question se pose sur la façon dont est positionné le curseur.

Source : Bloomberg