Heartbleed et la NSA

L'Agence nationale de sécurité américaine savait depuis au moins deux années sur une faille dans la façon dont de nombreux sites envoient des informations sensibles, maintenant surnommé le bug Heartbleed, et régulièrement utilisé pour recueillir des renseignements critiques, deux personnes proches du dossier dit.

Décision publiée de l'agence de garder le secret de bug dans la poursuite des intérêts de sécurité nationale risque de relancer le débat acrimonieux sur le rôle des meilleurs experts informatiques du gouvernement. La NSA, après une baisse de commenter le rapport, par la suite nié qu'elle était au courant de Heartbleed jusqu'à ce que la vulnérabilité a été rendu public par un rapport de la sécurité privée au début du mois.

«Les rapports que la NSA ou toute autre partie du gouvernement étaient au courant de la vulnérabilité dite Heartbleed avant 2014 ont tort", selon un communiqué de l'Office du Directeur du renseignement national e-mail.

Connexes:

• Des millions d'appareils Android vulnérables à Heartbleed Bug
• Heartbleed Trouvé dans Cisco, Juniper Produits de réseautage
• Opinion: Mot de passe Heartbreak de Heartbleed

Heartbleed semble être l'un des plus gros défauts de l'histoire de l'Internet, atteinte à la sécurité de base du plus grand nombre des deux tiers des sites Web du monde. Sa découverte et la création d'un correctif par des chercheurs il ya cinq jours ont incité les consommateurs à changer leurs mots de passe, le gouvernement canadien de suspendre entreprises électroniques de déclarations fiscales et informatiques, y compris Cisco Systems Inc. Juniper Networks Inc. pour fournir des correctifs pour leurs systèmes.

Mettre le bug Heartbleed dans son arsenal, la NSA a réussi à obtenir les mots de passe et autres données de base qui sont les blocs de construction des opérations de piratage sophistiquées au cœur de sa mission, mais à un coût. Des millions d'utilisateurs ordinaires ont été laissés vulnérables aux attaques des bras de renseignement d'autres nations et les pirates informatiques.

Pratique controversée

"Il va à l'encontre des commentaires de l'agence que la défense vient en premier», a déclaré Jason Healey , directeur de l'initiative cyber art de gouverner au Conseil de l'Atlantique et un ancien officier de l'Armée de l'Air cyber. "Ils vont être complètement déchiqueté par la communauté de la sécurité informatique pour cela."

Les experts disent que la recherche de défauts est au cœur de la mission de la NSA, si la pratique est controversée. Un conseil présidentiel en revue les activités de la NSA après les fuites d'Edward Snowden recommandé l'agence stopper l'accumulation de vulnérabilités logicielles.

Lorsque de nouvelles vulnérabilités de type Heartbleed sont découverts, ils sont décrits, le Bureau du directeur du renseignement national a déclaré en réponse au rapport de Bloomberg. Il existe un processus clair entre les organismes pour décider quand partager les vulnérabilités, a indiqué le bureau dans un communiqué.

"Cette administration prend au sérieux sa responsabilité d'aider à maintenir un Internet ouvert, interopérable, sûr et fiable," Shawn Turner, directeur des affaires publiques pour le bureau, cité dans le communiqué. "Sauf s'il ya une sécurité nationale claire ou application de la loi nécessité, ce processus est poussé vers la divulgation responsable de ces vulnérabilités."

Failles de chasse

La NSA et d'autres agences de renseignement d'élite consacrent des millions de dollars à la chasse aux failles logicielles communes qui sont essentiels pour le vol de données à partir d'ordinateurs sécurisés. Protocoles open-source comme OpenSSL, où le défaut a été constaté, sont les principales cibles.

La faille Heartbleed, introduit au début de 2012 à un ajustement mineur pour le protocole OpenSSL, souligne l'un des défauts de développement de logiciels open source.

Alors que de nombreuses sociétés Internet s'appuient sur le code libre, son intégrité dépend d'un petit nombre de chercheurs sous-financés qui consacrent leurs énergies à des projets.

En revanche, la NSA a plus de 1000 experts consacrées à débusquer ces défauts en utilisant des techniques d'analyse sophistiquées, beaucoup d'entre eux annonce. L'agence a constaté Heartbleed peu de temps après son introduction, selon l'une des personnes familières avec le sujet, et il est devenu un élément de base de la boîte à outils de l'agence pour voler les mots de passe et autres tâches courantes.

NSA espionnage

La NSA a fait face à neuf mois de critiques virulentes pour l'ampleur de son espionnage, documenté dans une série de roulement de fuites de Snowden, qui était un ancien entrepreneur de l'agence.

Les révélations ont créé une image plus claire des deux rôles, parfois contradictoires, joué par la plus grande agence d'espionnage des Etats-Unis. La NSA protège les ordinateurs du gouvernement et de l'industrie critique de cyber-attaques, tout en recueillant troves de l'intelligence attaquer les ordinateurs des autres, y compris les organisations terroristes, les contrebandiers nucléaires et d'autres gouvernements.

Les utilisateurs ordinaires de l'Internet sont mal servis par la disposition en raison de graves défauts ne sont pas fixes, exposer leurs données à des organisations et des criminels espion nationaux et internationaux, a déclaré John Pescatore, directeur des nouvelles tendances en matière de sécurité à l'Institut SANS, une cyber base Bethesda, Maryland sécurité organisme de formation.

Une Agence

"Si vous combinez l'agence deux en un du gouvernement, dont la mission gagne?" Demandé Pescatore, qui a travaillé dans la sécurité de la NSA et les services secrets américains.»Invariablement, quand cela s'est produit au fil du temps, la mission offensive gagne."

Lorsque les chercheurs ont découvert le bug cachette Heartbleed à la vue et ont fait public le 7 Avril, il a souligné une vérité qui dérange: Le public peut être de placer trop de confiance dans les logiciels et les concepteurs de matériels pour assurer la sécurité de nos opérations les plus sensibles.

"Nous n'avons jamais vu une tout à fait comme cela», a déclaré Michael Sutton , vice-président de la recherche de la sécurité à Zscaler, une société de sécurité basée en Californie San Jose. «Non seulement est une énorme partie de l'Internet touchés, mais les dommages qui peut être fait, et avec une relative facilité, est immense."

Le potentiel découle d'une mauvaise mise en œuvre de protocole utilisé pour chiffrer les communications entre les utilisateurs et les sites Web protégés par OpenSSL, ce qui rend ces sites soi-disant sécurisés un livre ouvert. Les dégâts pourraient se faire avec des scans relativement simples, de sorte que des millions de machines pourraient être touchés par un seul attaquant.

Flaw exploiter

Des questions demeurent quant à savoir si une personne autre que le gouvernement américain aurait exploité la faille avant la divulgation publique. Les agences de renseignement sophistiqués dans d'autres pays sont une possibilité.

Si les criminels ont trouvé la faille avant un correctif a été publié cette semaine, ils auraient ramassé troves de mots de passe pour les comptes bancaires, les sites e-commerce et les comptes e-mail à travers le monde.

La preuve en est jusqu'à présent défaut, et il est possible que les cybercriminels ont raté le potentiel de la même manière les professionnels de la sécurité ont suggéré Tal Klein, vice-président du marketing chez Adallom, à Menlo Park, en Californie.

Le fait que la vulnérabilité existe dans la transmission de données ordinaire - même si c'est le genre de données que la grande majorité des utilisateurs sont préoccupés - peut avoir été un facteur dans la décision prise par la NSA à garder le secret, a déclaré James Lewis , senior fellow de la cybersécurité au Centre d'études stratégiques et internationales.

Détermination des risques

"Ils ont fait un processus quand ils trouvent ce genre de choses qui va tout le chemin jusqu'à le directeur" de l'agence, Lewis dit. "Ils regardent comment il est probable que d'autres gars l'ont trouvé et pourraient être l'utiliser, et ils regardent ce qui est le risque pour le pays."

Lewis dit la NSA dispose d'une gamme d'options, y compris l'exploitation de la vulnérabilité pour obtenir des renseignements pour une courte période de temps et ensuite en contact discrètement fabricants de logiciels ou des chercheurs open source pour le fixer.

Le protocole SSL a une histoire de problèmes de sécurité, Lewis dit, et n'est pas la principale forme de protection, l'État et d'autres utilisent pour transmettre des informations hautement sensibles.

«Je savais que les pirates qui pourraient le casser, il ya près de 15 ans," a déclaré Lewis du protocole SSL.

Cela ne peut pas apaiser les millions d'utilisateurs qui ont été laissés vulnérables depuis si longtemps.

Recommandation du Groupe

Après les fuites sur l'espionnage électronique de la NSA, le président Barack Obama a convoqué un groupe spécial pour examiner les activités de surveillance et de proposer des réformes. Parmi les dizaines de changements proposés était une recommandation que la NSA se déplacer rapidement pour corriger les défauts de logiciels plutôt que les exploiter, et qu'ils soient utilisés que dans des «cas rares» et pour de courtes périodes de temps.

"Si la NSA connaît une vulnérabilité, alors souvent d'autres Etats-nations et même des organisations criminelles peuvent exploiter la même faille de sécurité", a déclaré Harley Geiger , avocat principal pour le Centre pour la démocratie et la technologie à Washington. "Ce qui peut être un bon outil pour la NSA peut également se révéler être un outil pour les organisations qui sont moins éthique ou avoir aucune éthique du tout."

Actuellement, la NSA a un trésor de milliers de ces vulnérabilités qui peuvent être utilisés pour violer certains des ordinateurs les plus sensibles de la planète, selon une personne informée sur la question. chefs du renseignement ont dit la capacité du pays à repérer les menaces terroristes et comprendre l'intention des dirigeants hostiles serait considérablement réduite si leur utilisation était interdite.

Pour contacter le journaliste sur cette histoire: Michael Riley à Washingtonmichaelriley@bloomberg.net

Pour contacter les éditeurs responsables de cette histoire: Sara Forden àsforden@bloomberg.net Winnie O'Kelley

Source : bloomberg