Passer au contenu

La NSA exploitait Heartbleed depuis deux ans

Heartbleed, la fameuse faille SSL/TLS qui provoque bien des maux de tête parmi les admins de sites web, n’a pas été une découverte pour les oreilles…

Heartbleed, la fameuse faille SSL/TLS qui provoque bien des maux de tête parmi les admins de sites web, n’a pas été une découverte pour les oreilles indiscrètes de la NSA. L’agence de surveillance américaine l’exploitait depuis au moins deux ans !

how-to-create-super-strong-passwords-to-protect-yourself-from-the-heartbleed-bug

La NSA était, d’après Bloomberg, parfaitement au courant de cette faille importante, mais elle s’est bien gardée de ne pas la révéler : la vulnérabilité s’est montrée bien pratique pour pénétrer en douce dans les serveurs du monde entier et récupérer discrètement mots de passe et autres informations sensibles. En fait, depuis l’apparition de ce bug en 2012, l’agence n’a pas cessé de l’exploiter à son profit.

Heartbleed a eu un impact sur des services aussi populaires que les Web Services d’Amazon, très utilisés pour le stockage et l’hébergement de sites web, ainsi que Gmail, Yahoo, et bien d’autres encore. En ce qui concerne Google et Amazon, les serveurs n’ont été patchés contre la faille que la semaine dernière – on peut donc gager, sans trop se tromper étant donné les mauvaises manières avérées de la NSA, que celle-ci en a tiré profit jusqu’au bout.

L’un dans l’autre, la NSA a donc pu, par le biais d’Heartbleed, avoir un accès libre aux deux tiers des serveurs chiffrés sur internet. Et le pire est encore à venir : même si des précautions ont été (ou vont l’être) prises pour combler cette vulnérabilité, l’agence a sous la main plusieurs milliers de failles similaires (!) qu’elle ne compte évidemment pas révéler.

Mise à jour – La NSA et les autorités fédérales américaines ont démenti avoir été au courant de la faille Heartbleed.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

Source : Source

18 commentaires
  1. “n’a pas été une découverte pour les oreilles indiscrètes de la NSA” ne veut rien dire.
    “elle s’est bien gardée de ne pas la révéler” elle s’est plutôt bien garde de la révéler. Sinon tout le monde serrait au courant.

  2. Kosumo : gardée et pas garde / serait et pas serrait
    Pour donner des leçons, il faut être irréprochable.

  3. C’est surtout le sens des mots qu’il faut lire/prendre en compte… Se garder (ne pas faire) de ne pas dire… Cela revient à une double negation, donc pas de negation… Bref, Kosumo n’a peut-être pas fait attention aux accents, mais il a raison.

  4. De fait toto. J’ai écrit un commentaire en 10secondes sur un smartphone. J’espère que l’article a pas été écrit dans les même conditions.
    De plus les erreurs que j’ai soulignés changent la compréhension de l’article. Je ne serrais pas venu leur briser les … pour des fautes d’orthographe.

  5. L’emploi du conditionnel tout au long de l’article serait préférable: la NSA vient de démentir les accusations de Bloomberg. Bon, la parole de la NSA vaut ce qu’elle vaut aujourd’hui, mais celle de Bloomberg n’est pas vérité absolue non plus…

    Et puis, la NSA a sûrement d’autres tours dans son sac.

  6. “mais elle s’est bien gardée de ne pas la révéler”
    Elle s’est bien gardée de le faire veut dire qu’elle ne l’a pas fait.
    Donc techniquement, la phrase telle qu’écrite dans l’article voudrait dire qu’elle l’aurait révélé, ce qui n’est bien sûr pas le cas…^^
    elle s’est bien gardée de la révéler…

  7. On vit dans un monde où les grandes puissances ne se cachent même pas d’être super evil !
    Ils sont pas plus raisonnables que pendant les guerres mondiales et autres grands moment de l’humanité. Y’a rien à faire, le pouvoir ça rend con.

  8. “mais elle s’est bien gardée de ne pas la révéler”
    Désolé mais c’est le contraire qu’il faut écrire:
    mais elle s’est bien gardée de la révéler

  9. Marrant comment autant de monde cherche à se faite mousser en corrigeant une expression. Vous avez vraiment rien d’autre à foutre…

  10. Exploiter les failles est leur cœur de métier, pas la peine de se fatiguer avec le conditionnel.
    Ou alors carrément exiger des backdoors.

  11. Autant je suis un peu parano et adepte de la théorie du complot autant la c’est un peu gros.
    openssl comme son nom l’indique est open source et donc le code a été décortiqué par des milliers voir des dizaines de millier de personnes et pourtant jusqu’ici personne n’avait trouvé cette faille. alors autant d’accord la NSA a de très gros moyens mais ils sont pas magiciens non plus et les chances pour qu’ils ai découvert cette faille des le debut et qu’il l’ai exploité sans que personne ne s’en aperçoive me paraissent plutot faible.
    parce qu’il ne faut pas oublier que 64ko de données en plus dans des paquets sa attire l’attention……

  12. Bonjour,

    Désolé pour mon ignorance, mais j’aimerais comprendre.
    On parle d’une faille dans open ssl, qui d’après ce que je comprends est en open source.
    Comment la plupart des sites majeurs sur Terre peuvent ils faire confiance à des bibliothèques de chiffrement et de cryptage en open source, c’est à dire accessible à tout le monde…
    Il y a là quelque chose que je n’arrive pas à comprendre… Bien sûr ce n’est pas parce que l’on dispose des sources d’un code qu’on a accès facilement aux mots de passes etc, mais ma foi, ça me paraît assez “aisé” pour un codeur d’un certain niveau de trouver une faille comme celle introduite dans l’algo heartbeat…
    Merci d’éclairer ma lanterne de néophyte.

    Christophe

Les commentaires sont fermés.

Mode