La NSA a démenti vendredi avoir eu connaissance et exploité à son profit l'importante faille de sécurité "Heartbleed". Celle-ci touche certaines versions d'OpenSSL, un logiciel libre très utilisé pour les connexions sécurisées sur Internet.
Citant "des sources proches du dossier", l'agence de presse Bloomberg affirme que l'agence américaine chargée des interceptions de communications connaissait depuis "au moins deux ans" l'existence de cette faille, baptisée "Heartbleed", mais qu'elle ne l'avait pas révélée et s'en était au contraire servie pour récupérer des informations.
La faille "Heartbleed" touche certaines versions d'OpenSSL, un logiciel libre très utilisé pour les connexions sécurisées sur Internet, matérialisées par exemple par une adresse démarrant par https ou un petit cadenas lors des transactions bancaires et de l'identification sur un site Internet. Son existence a été dévoilée en début de semaine.
"La NSA n'était pas informée de la vulnérabilité récemment identifiée dans OpenSSL, appelée faille Heartbleed, jusqu'à ce qu'elle soit rendue publique dans un rapport d'une société privée de sécurité informatique. Les informations faisant état du contraire sont fausses", a déclaré une porte-parole de la NSA.
La porte-parole du Conseil de sécurité nationale (NSC, dépendant de la Maison blanche) a également démenti que "la NSA ou toute autre branche du gouvernement" ont eu connaissance de la faille. "Le gouvernement fédéral a lui aussi recours à l'OpenSSL pour protéger les utilisateurs de sites internet gouvernementaux", dit-elle dans un communiqué.
"Cette administration prend au sérieux sa responsabilité d'aider au maintien d'un Internet ouvert, interopérable, sécurisé et sûr. Si le gouvernement fédéral, y compris la communauté du renseignement, avait découvert cette vulnérabilité avant la semaine passée, il en aurait informé la communauté responsable de l'OpenSSL", assure-t-elle encore.
"Heartbleed" peut permettre à des pirates de récupérer dans la mémoire des serveurs informatiques des données fournies lors de connexions protégées.
Parmi les informations susceptibles d'être récupérées figurent le code source (instructions pour le microprocesseur), les mots de passe, et les "clés" utilisées pour déverrouiller des données cryptées ou imiter un site.