La National Security Agency (NSA) a rejeté aujourd’hui le fait d’avoir connu le bug Heartbleed depuis des années, et utilisé pour les efforts de surveillance. “La NSA n’était pas au courant de la vulnérabilité Heartbleed récemment identifiée, et ce jusqu’à ce qu’elle soit rendue public”, a indiqué l’agence sur son compte Twitter.
Le refus est venu après que Bloomberg ait publié un rapport, citant deux personnes proches du dossier, indiquant que la NSA connaissait le malheureusement très célèbre bug Heartbleed pendant au moins deux ans, et “utilisé régulièrement cette faille pour recueillir des renseignements critiques”.
L’agence de presse a déclaré que le NSA a pu recueillir des choses comme des mots de passe et autres données de base qui transitent sur le Web.
Heartbleed est un bug apparu il y a quelques jours au sein du protocole OpenSSL laissant des données cryptées, qui sont censées être protégées par la bibliothèque de chiffrement, ouvertes aux escrocs. Son existence a été révélée cette semaine par une équipe de chercheurs, indiquant que Heartbleed existe depuis la version 1.0.1 publiée en mars 2012. Un correctif vient de sortir, mais Heartbleed est encore ouvert aux hackers pour un bon nombre de contenu Web, d’e-mails, sur la messagerie instantanée et les réseaux privés virtuels, sur environ les deux tiers des serveurs du monde.
Même si un correctif a été publié, vos données sont vulnérables jusqu’à ce que celui-ci soit mis en oeuvre. La seule chose que vous pouvez vraiment faire pour éviter d’avoir vos informations dérobées par des escrocs qui exploitent le bug Heartbleed est de changer votre mot de passe sur les sites concernés. Mais encore une fois, il est inutile de le faire avant que la faille ne soit bouchée, ou vous pourriez exposer votre nouveau mot de passe.
L’origine de Heartbleed peut être retracée à un développeur qui à tort présente un code erroné à la Saint-Sylvestre 2011. Robin Seggelmann, un programmeur résidant en Allemagne, a présenté le code dans une mise à jour le 31 décembre 2011 à 23h50, avec l’intention de permettre un Heartbeat au sein de OpenSSL. Mais il a “manqué la validation nécessaire par un oubli”, a déclaré Seggelmann au Guardian.
