On peut être un géant du renseignement électronique, dépenser des milliards dans des technologies informatiques et avoir un site Web faiblement sécurisé. C’est étonnant, mais c’est pourtant vrai : un chercheur en sécurité allemand, Matthias Ungethüm, a trouvé et exploité deux failles de sécurité dans la homepage de la NSA.
La première permettait d’injecter du code directement sur la page, selon une technique dite de « cross site scripting ». En cliquant sur un lien spécialement préparé, l’utilisateur ne voit pas la page originale de la NSA, mais une page modifiée. Le hacker a fourni une preuve de son exploit, par des captures d’écran. Il a remplacé le devise du service de renseignement (« America’s codebreakers and codemakers. Defending our nation. Securing the future ») par le slogan commercial de sa société de test d’intrusion (« Durchleuchten Sie Ihre Homepage », en français : Analysez votre site web). Cette faille a été corrigée depuis.
© MDR




La seconde faille est déjà plus problématique. Selon M. Ungethüm, elle permet de faire de l’injection de code SQL, ce qui permet d’accéder à des bases de données reliées au serveur web pour, éventuellement, les siphonner. Mais le hacker n’est pas allé aussi loin, entre autres pour ne pas avoir de problèmes juridiques. Il a juste vérifié l’existence de la faille, tout en précisant que son exploitation ne nécessitait pas « de grandes connaissances techniques ». Dans les deux cas, M. Ungethüm dit avoir alerté la NSA, mais n’a pas reçu de réponse.