Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

La NSA dément avoir exploité Heartbleed pour collecter des informations

L’Agence nationale de sécurité américaine aurait, selon Bloomberg, découvert la faille de sécurité Heartbleed il y a deux ans. Depuis, elle aurait exploité le bug pour collecter des informations dans le cadre de son programme d’espionnage Prism. Mais l’institution dément.
Twitter Facebook Linkedin Flipboard Email
×

La NSA dément avoir exploité Heartbleed pour collecter des informations
La NSA dément avoir exploité Heartbleed pour collecter des informations © tj.blackwell - Flickr - C.C.

Pendant deux ans, l’Agence nationale de sécurité américaine (NSA) aurait exploité la faille de sécurité Heartbleed, révélée le 7 avril par des informaticiens de l’entreprise Codemonomicon. Selon Bloomberg, l’institution aurait sciemment décidé de ne pas révéler l’existence de ce bug de la bibliothèque OpenSSL, un système très utilisé pour assurer le cryptage des communications sur Internet. Elle a ainsi capté deux ans durant des informations sensibles, normalement codées, comme ont pu le faire certains hackers. Cette surveillance de la NSA aurait eu lieu dans le cadre de son programme d’espionnage Prism, révélé en juin 2013 au grand public par l’un de ses anciens salariés, Edward Snowden.

Le gouvernement américain utilise OpenSSL

Une porte-parole de l’institution a démenti le 11 avril : "La NSA n'était pas au courant de la vulnérabilité récemment identifiée dans OpenSSL, appelée faille Heartbleed, jusqu'à ce qu'elle soit rendue publique dans un rapport d'une société privée. Les informations faisant état du contraire sont fausses."

"Le gouvernement fédéral a lui aussi recours à l'OpenSSL pour protéger les utilisateurs de sites internet gouvernementaux. Cette administration prend au sérieux sa responsabilité d'aider au maintien d'un internet ouvert, interopérable, sécurisé et sûr. Si le gouvernement fédéral, y compris la communauté du renseignement, avaient découvert cette vulnérabilité avant la semaine passée, elle en aurait informé la communauté responsable de l'OpenSSL", peut-on lire dans un communiqué repris sur Twitter.

Lélia de Matharel

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale