La faille Heartbleed fait, sans conteste, partie des failles les importantes de ces dernières années sur Internet, puisqu’elle a touché un très grand nombre de sites et est restée ouverte pendant deux ans avant d’être découverte et corrigée.
Si elle permettait, selon les premiers rapports, de voler les mots de passe et autres informations sensibles des utilisateurs, il semblerait que la NSA en a allègrement profité durant ces deux dernières années, selon Bloomberg. Des propos démentis par l’agence américaine.C’est en citant deux sources « proches du dossier » que Bloomberg a pu affirmer récemment que la NSA aurait exploité cette faille de sécurité OpenSSL « depuis au moins deux ans », afin notamment de collecter des données à l’insu des internautes et des sites concernés. La faille Heartbleed concerne en effet OpenSSL, qui permet d’établir une connexion chiffrée entre le serveur et l’ordinateur client, et donc théoriquement inviolable. La faille en question permettait d’accéder directement à la mémoire du serveur, et donc d’en extraire toutes sortes de données, le tout sans laisser de trace. Évidemment, la NSA a nié en bloc toute exploitation de ce genre :
« La NSA n’était pas au courant de la vulnérabilité récemment identifiée dans OpenSSL (...) jusqu’à ce qu’elle soit rendue publique dans un rapport d’une société privée de sécurité informatique. » L’agence explique d’ailleurs qu’elle en aurait, elle aussi, été victime : « Le gouvernement fédéral a lui aussi recours à l’OpenSSL pour protéger les utilisateurs de sites Internet gouvernementaux ».