La NSA exploitait Heartbleed depuis deux ans

Sur le web

Par Olivier le

Heartbleed, la fameuse faille SSL/TLS qui provoque bien des maux de tête parmi les admins de sites web, n’a pas été une découverte pour les oreilles indiscrètes de la NSA. L’agence de surveillance américaine l’exploitait depuis au moins deux ans !

how-to-create-super-strong-passwords-to-protect-yourself-from-the-heartbleed-bug

La NSA était, d’après Bloomberg, parfaitement au courant de cette faille importante, mais elle s’est bien gardée de ne pas la révéler : la vulnérabilité s’est montrée bien pratique pour pénétrer en douce dans les serveurs du monde entier et récupérer discrètement mots de passe et autres informations sensibles. En fait, depuis l’apparition de ce bug en 2012, l’agence n’a pas cessé de l’exploiter à son profit.

Heartbleed a eu un impact sur des services aussi populaires que les Web Services d’Amazon, très utilisés pour le stockage et l’hébergement de sites web, ainsi que Gmail, Yahoo, et bien d’autres encore. En ce qui concerne Google et Amazon, les serveurs n’ont été patchés contre la faille que la semaine dernière – on peut donc gager, sans trop se tromper étant donné les mauvaises manières avérées de la NSA, que celle-ci en a tiré profit jusqu’au bout.

L’un dans l’autre, la NSA a donc pu, par le biais d’Heartbleed, avoir un accès libre aux deux tiers des serveurs chiffrés sur internet. Et le pire est encore à venir : même si des précautions ont été (ou vont l’être) prises pour combler cette vulnérabilité, l’agence a sous la main plusieurs milliers de failles similaires (!) qu’elle ne compte évidemment pas révéler.

Mise à jour – La NSA et les autorités fédérales américaines ont démenti avoir été au courant de la faille Heartbleed.

Source: Source