Heartbleed : la faille d'OpenSSL aurait été exploitée… par la NSA

La gravité de la faille de sécurité Heartbleed qui affecte l’application de chiffrage OpenSSL suscite de nombreuses craintes, des craintes qui se trouvent désormais aggravée de la suspicion que la NSA l’aurait exploitée pendant deux ans.

Alors que la sécurité de la moitié des sites internet mondiaux est mise en péril par une faille de sécurité affectant l’application de chiffrage OpenSSL, une polémique vient se greffer aux nombreuses interrogations suscitées par cette faille.

Si la gravité de la faille Heartbleed laisse expectative de nombreux spécialistes, le fait que Bloomberg affirme que l’agence américaine de renseignement connaissait l’existence de cette vulnérabilité laisse encore plus songeur, surtout que Bloomberg affirme aussi que cette faille aurait été exploitée à des fins de surveillance.

C’est sur la base de deux sources anonymes que Bloomberg révèle que la National Security Agency (NSA) « aurait eu connaissance de cette faille critique depuis au moins deux ans et s’en serait régulièrement servi à des fins de renseignement ». Il est par ailleurs précisé que l’agence aurait décidé de ne pas divulguer l’existence de cette faille au motif de la sécurité nationale.

Dès la parution de cette information, dimanche, les autorités américaines ont immédiatement démenti que la NSA était au courant de l’existence de Heartbleed avant sa divulgation officielle il y a quelques jours. Caitlin Hayden, la porte-parole du Conseil de sécurité nationale, affirmant même que « ces informations sont fausses ».

Caitlin Hayden a beau affirmer que « si le gouvernement fédéral, y compris la communauté du renseignement, avaient découvert cette vulnérabilité, elle en aurait informé la communauté », tous les petits secrets de la NSA révélés par Edward Snowden ont de quoi nous laisser perplexe, alors pourquoi pas un secret de plus ?