Pour répondre aux nombreuses interrogations légitimes de citoyens, la NSA a communiqué sur son aspect lié à la sécurité informatique. Elle affirme divulguer en moyenne neuf vulnérabilités sur dix, gardant le reste secret pour des raisons de sécurité d’Etat.
Depuis les révélations d’Edward Snowden sur la surveillance généralisée des communications électroniques, la NSA doit gérer plusieurs scandales à la sauce Big Brother. C’est surement la principale raison à l’avoir poussé à communiquer publiquement sur les chiffres liés aux vulnérabilités découvertes en interne par leur service spécialisé et au mode de traitement de ces dernières.
Dans cet objectif de reconquête et de clarification, la NSA a publié une infographie dans laquelle elle assure que « 91 % des failles découvertes dans des logiciels qui sont passés par notre processus d’examen interne et qui sont conçus ou utilisés aux États-Unis » ont fait l’objet d’une communication publique. C’est-à-dire plus de neuf vulnérabilités sur dix.
Concernant les 9% restant non divulgués, il existe 2 possibilités : soit la vulnérabilité en question a déjà été corrigée par l’éditeur ou le fabricant concerné, soit il s’agit d’une question de sécurité nationale et les détails ne sont alors jamais rendus publiques.
Suite à cette communication, l’Electronic Frontier Foundation (EFF) se montre très critique à l’égard du pourcentage de divulgation avancé par la NSA. Idem vis-à-vis des délais de rétention des vulnérabilités au sein du service avant la divulgation…
Imaginons qu’une faille critique telle que HeartBleed soit découverte, exploitée intensivement par le gouvernement Américain durant quelques mois le temps de s’introduire massivement au sein de nombreux serveurs Web de part le monde, et divulguée ensuite publiquement avec un patch. Dans ce cas, nul ne sera informé de la vraie date de découverte lors du disclosure final.
« Divulguer une vulnérabilité peut vouloir dire que nous renonçons à la possibilité de collecter des informations cruciales qui pourraient contrecarrer une attaque terroriste, arrêter le vol de la propriété intellectuelle de notre pays, ou même permettre de découvrir des vulnérabilités plus dangereuses qui sont utilisées par les hackers ou d’autres adversaires pour exploiter nos réseaux », indiquait la Maison-Blanche.
Numerama revient en détails sur les problématiques liées à cette communication.