Atlantico, c'est qui? c'est quoi ?
Jeudi 30 Juin 2016 | Créer un compte | Connexion
Extra

Comment Heartbleed a mis en évidence les faiblesses de l’Internet open source

Heartbleed est une faille internet qui existe depuis maintenant deux ans. Elle a potentiellement permis à nombre de hackers et de cybercriminels de s'infiltrer sur près de la moitié des sites où sont stockées des données personnelles normalement cryptées, comme un mot de passe ou des données bancaires.

Une brêche béante

Publié le
Comment Heartbleed a mis en évidence les faiblesses de l’Internet open source

Atlantico : Heartbleed a récemment secoué l'ensemble du web. Pour autant cette faille existe depuis plus de deux ans, et n'a été découverte que récemmentu. Que traduit-elle finalement, de l'état d'Internet et de l'open source ? Est-ce vraiment le lieu sûr que l'on prétend ?

Maxime Pinard : Je pense qu’il faut distinguer les problèmes posés par Heartbleed. Le temps d’existence de cette faille me semble le plus préoccupant, même si ce n’est pas un cas isolé, de même qu’il serait intéressant de savoir qui était au courant de Heartbleed : NSA, géants du Web, hackers ?

Concernant la nature open source d’OpenSSL, j’y verrais au contraire davantage une chance qu’une faille, dans la mesure où il s’agit d’un logiciel libre, capable d’être analysé par tout bon codeur.

Certes, cela signifie que les clés du logiciel sont accessibles en théorie à l’ensemble des internautes, dont des cybercriminels, mais l’histoire d’Internet montre que c’est avec ce genre de conception de l’informatique (open source) que l’on parvient à améliorer sensiblement et dans un délai relativement court la sécurité des logiciels.

La situation aurait été radicalement différente s’il s’était agi d’un logiciel propriétaire, l’entreprise détentrice des droits subissant les foudres de ses clients et devant parer avec ses propres ressources. On l’imagine mal en effet dévoiler à la communauté d’internautes le code source du dit-logiciel, même si cela serait dans l’intérêt commun.

L’histoire d’Heartbleed montre en tout cas qu’Internet, en dépit d’un discours bien trop rassurant vis-à-vis des internautes, n’est pas l’espace sûr à 100% que l’on imagine. Internet est un assemblage de technologies de pointe et du travail de millions d’êtres humains qui peuvent faire des erreurs. Comme toute "machine", Internet peut connaître des dysfonctionnements.

Quelles sont les premières causes de ces failles ? L'harmonisation du web, si elle forme un plus indéniable, n'en est-elle pas une également ?

Pour répondre à la première partie de votre question, je ferai un parallèle avec l’industrie automobile. A l’exception de très rares cas, lorsqu’on achète une voiture, elle répond à un cahier des charges extrêmement précis et rigoureux et demande plusieurs phases de test et de sécurisation avant d’être commercialisée pour des raisons de sécurité évidentes. Dans le secteur des NTIC, la situation devrait être identique, mais ce n’est pas le cas. Afin de ne pas être dépassé par un concurrent, une entreprise des NTIC va sortir très fréquemment (des cycles de 6 mois parfois !) des produits certes opérationnels, mais qui ne sont pas totalement finalisés techniquement. On se retrouve ainsi avec des outils technologiques, des logiciels ou des services Web qui vont faire l’objet de mises à jour successives (comme chez Microsoft avec Windows) afin de combler les failles de sécurité ou les bugs laissés inévitablement par les programmeurs. De toute manière, on ne peut garantir pour des logiciels aux fonctions complexes comme un système d’exploitation qu’une erreur ne se sera glissée dans les millions de lignes de code écrites.

 
Commentaires

Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.

  • Par Max68 - 21/04/2014 - 10:01 - Signaler un abus Simplement, l'erreur est humaine !

    C'est une erreur de logique de faire l'amalgame entre cette faille de sécurité et l'Open Source ! La faille de sécurité est un bug particulier et tout informaticien de base sait qu'il est impossible programmer un logiciel sans bug ! La faille est humaine. Point. Peu importe si l'humain ou l'équipe d'humains qui est responsable du bug avait le pantalon rouge, était juif ou communiste ou s'il travaillait pour IBM, pour Appel ou dans un contexte d'Open Source ! Comme tout amalgame, cet amalgame n'est qu'un sophisme !

  • Par Sossa - 21/04/2014 - 10:32 - Signaler un abus Pas terrible, cet article...

    Tout d'abord, il faudrait expliquer ce qu'heartbleed pose comme risque ; il y en a deux principaux : récupération par un assaillant de la clé privée de cryptage, ce qui permet d'écouter toute conversation vers le site si on peut intercepter le flux crypté (ce qui n'est pas évident), récupération de données envoyées au serveur comme un identifiant de session ou un login / mot de passe, donnant accès au compte d'un utilisateur ou pire à celui d'un administrateur (et donc de tous les comptes du site). La probabilité de pouvoir faire quelque chose de la faille est très faible, mais comme elle est présente sur de très nombreux sites, quelqu'un qui connait la faille depuis longtemps a pu l'exploiter avec profit. Est-ce arrivé ? Impossible de le savoir, y compris pour les sites en question, l'attaque ne laisse pas de traces ni de sa survenue, ni de ce qu'elle a révélé comme données.

  • Par Apicius - 21/04/2014 - 10:34 - Signaler un abus Comment Atlantico titre n'importe quoi pour appâter

    Le titre de l'article est en totale contradiction avec les propos tenus ! J'ai pensé en voyant ce titre qu'il s'agissait d'un texte écrit par un affidé de Microsoft ou d'Apple pour défendre la cause des logiciels propriétaires. Ce n'est pas la teneur de l'article. Heureusement qu'il y a l'Open Source, ce qui permet à n'importe qui - pour peu que la volonté et les compétences existent - de vérifier la pertinence d'un tel logiciel. Atlantico devrait s'astreindre à un peu plus de rigueur intellectuelle.

  • Par Sossa - 21/04/2014 - 10:45 - Signaler un abus Suite

    Par ailleurs, l'erreur de programmation causant heartbleed est la tarte à la crème des erreurs exploitables, un buffer overflow ; elle est de plus quand on regarde le code particulièrement évidente. Tellement facile à éviter, et tellement classique, qu'on peut légitimement se demander comment elle a pu arriver dans un logiciel de sécurité aussi déployé: vraie erreur ou malveillance ? Une vraie erreur n'est pas à exclure, car OpenSSL bien qu'étant massivement utilisé ne dispose que de peu de moyens pour son développement. En tous cas, pas de malveillance des géants du web, puisque ceux utilisant les versions visées d'OpenSSL étaient bien touchés, ceux non touchés étant ceux ne l'utilisant pas (comme Microsoft ou Amazon). Alors malveillance d'une agence de sécurité, ou d'un hacker ? Tout est possible, c'est de l'open source, tout le monde peut apporter sa pierre à l'édifice. De quoi relancer la guerre logiciel propriétaire ou open source ? Bien que ce soit la faille la plus grave dont on ait eu connaissance, et qu'elle touche de l'open source, pas vraiment. Qui nous dit qu'une telle faille n'a pas touché un logiciel propriétaire, mais que la gravité en a été cachée par son créateur ?

  • Par OneZero - 21/04/2014 - 17:20 - Signaler un abus Atlantico, expertisez vos experts et coachez-les !

    Merci à Sossa et Apicius de nous donner des explications que l'article ne fournit pas (ou de manière confuse). On aimerait que 1) Atlantico choisisse des experts qui sachent expliquer clairement une question technique (bien sûr ce n'est pas facile). 2) Atlantico donne des consignes ou des conseils du point de vue expression, aux experts qu'il choisit, et relise leurs réponses. C'est possible pour des sujets qui ne sont pas dans l'actualité brûlante. Mais pour cela il faudrait que les journalistes d'Atlantico cessent de succomber aux accroches qu'ils croient sensationnelles ou spirituelles et qui ne sont souvent que superficielles si ce n'est trompeuses.

Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Maxime Pinard

Maxime Pinard est directeur de Cyberstrategia, site d'analyse stratégique portant sur les enjeux du cyberespace et de la géopolitique en général. Il est adjoint aux formations à l'IRIS, en charge de l'enseignement à distance et de la formation "Action humanitaire : enjeux stratégiques et gestion de projet".

Voir la bio en entier

Je m'abonne
à partir de 4,90€