La NSA assure divulguer les vulnérabilités découvertes. Avant ou après attaque ? | Le Net Expert Informatique
La NSA assure divulguer les vulnérabilités découvertes |
L’agence de renseignement US assure communiquer aux éditeurs 91% des failles qu’elle découvre dans les logiciels. La NSA ne précise pas en revanche quand ces données sont transmises et si les failles ont été exploitées au préalable.
L’agence de renseignement américaine est une grande consommatrice de failles de sécurité. Celles-ci lui permettent en effet de récolter des informations. Mais la NSA, en ne dévoilant pas ces vulnérabilités, laisse aussi les entreprises US exposées à des attaques. Après les révélations d’Edouard Snowden, ces pratiques ont été examinées. Pas sûr cependant qu’elles ne changent comme l’explique Reuters. Sur son site Internet, la NSA justifie sa démarche, estimant ainsi qu’il y « a des avantages légitimes et des inconvénients à la décision de divulguer les vulnérabilités ».
Combien de temps la NSA garde-t-elle le secret ? Et les arbitrages entre une divulgation rapide et la rétention de cette information « peut avoir des conséquences significatives ». En dévoilant une vulnérabilité, la NSA précise ainsi qu’elle renonce à la possibilité de collecter du renseignement crucial : attaque terroriste, vol de propriété intellectuelle ou découverte d’autres failles encore plus dangereuses. Néanmoins, la NSA assure, « historiquement », avoir communiqué plus de 91% des vulnérabilités identifiées dans les produits soumis à son audit interne, développés ou utilisés aux Etats-Unis. Et les autres ? Il s’agit de failles déjà corrigées ou gardées secrètes pour des raisons de sécurité nationale, explique l’agence. Mais comme le souligne Reuters, la question est plus de savoir quand les vulnérabilités sont communiquées aux éditeurs et ainsi corrigées. D’après un ancien officiel de la Maison-Blanche, il est raisonnable de penser que ces 91% de failles sont préalablement exploitées avant de faire l’objet d’une divulgation. La NSA n’apporte aucun commentaire sur ce point. Mais la faille Heartbleed est une illustration de ces pratiques. La NSA aurait eu connaissance de cette faille critique et l’aurait exploitée pour ses opérations au moins deux ans avant qu’elle ne soit connue publiquement. L’agence de renseignement réfute cependant.
Denis JACOPINI est Expert Informatique assermenté, consultant et formateur en sécurité informatique, en mise en conformité de vos déclarations à la CNIL et en cybercriminalité.
Cet article vous plait ? Partagez !
Source : http://www.zdnet.fr/actualites/la-nsa-assure-divulguer-les-vulnerabilites-decouvertes-avant-ou-apres-attaque-39827840.htm
|