La très peu recommandable agence américaine de renseignements NSA n'a pas bonne presse, et cela ne devrait pas s'arranger suite aux dernières révélations de Bloomberg. D'après deux sources, les grandes oreilles US auraient exploité la faille Heartbleed pendant des années afin d'obtenir en toute discrétion des informations privées. L'agence s'est bien évidemment retenue de prévenir de la dangerosité d'Heartbleed, dont la découverte cette semaine a provoqué un branle-bas de combat sans précédent (lire : Heartbleed : attention à cette méchante faille OpenSSL). La faille majeure, une des plus importantes de l'histoire d'internet, touche les deux tiers des sites web dans le monde - mais pas les services en ligne ni les logiciels d'Apple, tandis que Yahoo, Wunderlist et quelques autres ont commencé à boucher les trous.
S'il s'est avéré que la NSA a tiré parti d'Heartbleed, alors elle a pu infiltrer des milliers de serveurs afin de soutirer les mots de passe et autres données sensibles de millions d'utilisateurs. La recherche de failles dans les systèmes informatiques est une des priorités stratégiques des experts de l'agence, qui compte plus de mille spécialistes en sécurité pour cette seule activité.
Ils auraient découvert la faille Heartbleed peu après son apparition début 2012 - on peut donc penser que la NSA a pu l'utiliser pendant deux ans en toute quiétude. La faille aurait ainsi pu faire partie de l'arsenal de base pour subtiliser les données nécessaires au travail de surveillance; la NSA n'était d'ailleurs peut-être pas la seule agence à mettre à profit cette vulnérabilité, il est possible que d'autres services internationaux de renseignements l'aient également repérée.
Malheureusement, boucher cette faille ne changera pas grand chose aux activités de la NSA : Bloomberg explique que l'agence a sous la main des « milliers » de failles qu'elle peut exploiter à loisir. Et évidemment, il n'est pas dans son intérêt de les dévoiler au grand jour, même si on assure du contraire. Du côté des autorités américaines, on dément que la NSA ou le gouvernement fédéral ait eu connaissance de la faille Heartbleed, avant sa découverte début avril. Si cela avait été le cas, alors l'affaire aurait été révélée à la communauté en charge d'OpenSSL, le protocole utilisé par les autorités, car cela relève de « l'intérêt national de divulguer de manière responsable une vulnérabilité plutôt que de l'utiliser à des buts d'enquêtes ou de surveillance ».
