Par nature, la NSA aime les secrets même si de nombreux honteux ont été éventés par Edward Snowden. Après la divulgation du bug dit Heartbleed dans OpenSSL, la question s'est aussi vite posée de savoir si la NSA ne savait pas.

Heartbleed-bug Bloomberg a notamment laissé entendre que l'agence de renseignement américaine était au courant depuis au moins deux ans et n'a pas alerté le grand public de cette faille dangereuse pour tous, préférant exploiter la vulnérabilité pour ses propres besoins.

Coordinateur de la cybersécurité pour la Maison Blanche, Michael Daniel a de nouveau affirmé que le gouvernement n'avait pas connaissance de Heartbleed. Pour autant, il reconnaît que dans certains cas, des agences ne divulguent pas les vulnérabilités.

Sans surprise, ce sont des arguments comme la lutte contre le terrorisme ou " faire cesser le vol de propriété intellectuelle de la nation " qui sont évoqués. Le cas échéant, plusieurs problématiques sont prises en considération pour décider ou non de divulguer une vulnérabilité.

Il s'agira par exemple d'évaluer si la vulnérabilité non corrigée fait peser un risque significatif, la possibilité de l'utiliser sur une courte période avant de la divulguer, sa nuisance si elle est portée à la connaissance d'une nation adverse ou d'un groupe criminel…