Sécurité

La NSA connaissait et exploitait le bogue Heartbleed depuis « au moins deux ans » – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Lorsque j’ai écrit sur le bogue Heartbleed la semaine dernière, et comment cela signifie qu’une grande partie du Web n’a pas été sécurisée au cours des deux dernières années, je me suis dit : « si j’étais la NSA, ou une autre agence de renseignement, c’est exactement comme ça J’allais collecter des données sensibles. C’est presque le hack parfait : subvertissez un morceau de code open source que presque tout le monde utilise sans poser de questions, puis utilisez cette vulnérabilité pour extraire des informations sensibles jusqu’à ce qu’elles soient découvertes publiquement – à ce moment-là, vous créez ou trouvez une autre faille de sécurité dans une autre ouverture. -projet source, rincer, répéter. Maintenant, selon Bloomberg, citant deux personnes proches du dossier, il semble que la NSA ait fait exactement cela.

Selon Bloomberg, la National Security Agency des États-Unis était au courant du bug Heartbleed « depuis au moins deux ans ». Robin Seggelmann, qui a introduit le bogue il y a environ deux ans, affirme qu’il l’a fait involontairement. Il est tout à fait possible qu’il dise la vérité – mais il est également possible que la NSA l’ait payé pour créer le bogue, ou plus néfaste, ait piraté son ordinateur et introduit le bogue à son insu. Peut-être que la NSA n’a pas du tout été impliquée dans la création du bogue – peut-être y a-t-il juste un analyste de la NSA qui surveille d’importants projets open source, à la recherche de bogues pouvant être exploités par les équipes de renseignement électromagnétique (sigint). (Si vous voulez en savoir plus sur le bug Heartbleed et comment il est apparu, lire notre explicatif.)

Une carte d'Internet, affectée par le bug Heartbleed

Une carte d’Internet, affectée par le bug Heartbleed [Image credit: Chris Harrison]

Quoi qu’il en soit, si la NSA était au courant du bogue Heartbleed depuis deux ans et ne le divulguait pas de manière responsable aux développeurs OpenSSL, ce serait l’un des plus grands développements de l’histoire des écoutes téléphoniques. Oubliez tous les trucs liés à Snowden; c’est du menu fretin sans conséquence par rapport à Heartbleed. Si la NSA utilise Heartbleed depuis deux ans… eh bien, ce n’est pas bon. Il est encore très difficile de définir exactement ce qui a été exposé par le bug Heartbleed. Cela pourrait être aussi simple que de nombreux noms d’utilisateur et mots de passe – mais étant donné que les clés de chiffrement et les certificats de sécurité ont également été rendus disponibles par le bogue, il est tout à fait possible que la NSA ait eu accès aux réseaux privés des gouvernements et des entreprises du monde entier.

neige

Si la NSA était au courant du bogue Heartbleed, cela rend les fuites de Snowden sans conséquence en comparaison.

La NSA, de son côté, dément avoir eu connaissance du bug Heartbleed avant 2014. Personnellement je trouve ça un peu trop pratique, dans la foulée de les fuites de Snowden et le dégoût croissant pour la portée excessive du gouvernement, que deux personnes « familières avec le sujet » se présentent pour dire que la NSA avait pleine connaissance de la vulnérabilité de sécurité la plus dangereuse jamais découverte. Ne vous méprenez pas : je pense qu’il est très probable que la NSA garde un œil sur le code source des projets open-source, mais j’ai vraiment du mal à croire qu’elle ne divulguerait pas le bogue. Nous parlons d’un bogue qui pourrait endommager Internet pendant des années : si la NSA avait pu signaler le bogue Heartbleed il y a deux ans, ne pas le faire aurait été criminellement irresponsable.

Mais encore une fois, je ne suis pas naïf. Compte tenu de l’importance du bogue et des importantes sommes d’argent investies dans la cyberguerre, l’espionnage et les opérations de sigint, il est très probable qu’une agence de renseignement ou un groupe blackhat était au courant de Heartbleed. Il est tout à fait possible que plusieurs groupes, y compris la NSA, exploitent le bogue Heartbleed depuis quelques années, espérant tous qu’ils étaient le seul groupe à le savoir. Ajoutant de la crédibilité à cette théorie, il y a eu ici des rapports en ligne sur l’exploitation du bogue Heartbleed en 2013 – et si quelqu’un le savait en 2013, il est fort probable que d’autres groupes le sachent également.

Avancer, nos conseils de la semaine dernière tient toujours : vous devez installer un gestionnaire de mots de passe comme LastPass et ne changer vos mots de passe qu’une fois que vos services Web ont confirmé qu’ils ne sont plus vulnérables à Heartbleed. Vraiment, le plus grand risque ici concerne les institutions et les entreprises qui se démènent pour sécuriser leurs serveurs qui ont peut-être été piratés au cours des deux dernières années sans laisser de trace.

Psssssst :  RSA admet que les jetons SecurID ont été compromis, laissant les grandes entreprises sans protection
Bouton retour en haut de la page