En direct
Best of
Best of du 17 au 23 octobre
En direct
Articles populaires
Période :
24 heures
7 jours
01.

Un sondage dévastateur pour Macron et aussi, hélas, pour la France

02.

Mais qu’est ce qu’ont vraiment loupé les partis pour que 79% des Français soient désormais prêts à un vote anti-système ?

03.

Puisque nous sommes partis pour des reconfinements, que faire pour éviter une violente crise de santé mentale ?

04.

Pascal Bruckner : « Le rire et la moquerie peuvent suffire face aux guérilleros de la justice sociale, pas face à la menace islamiste »

05.

Contrairement aux opinions publiques, les marchés boursiers ne cèdent pas à la panique… car ils ne croient pas à la ruine de l‘économie

06.

La Turquie sort du silence et condamne officiellement "l'assassinat monstrueux" de Samuel Paty en France

07.

Alerte aux vampires : comment des cadavres en décomposition ont provoqué la première crise de panique collective en 1720

01.

L‘épargne des Français va nous sauver de la ruine et financer l’argent magique de la relance : démonstration

02.

Stéphane Plaza se fait larguer pour un plus jeune; Laeticia Hallyday plaque Pascal; Sia adopte des adultes; Kylian Mbappé récupère l'ex de Neymar; Marlène Schiappa aime les hommes, Britney Spears profite

03.

Coronavirus : L’Etat freine-t-il des médicaments français qui pourraient être efficaces ?

04.

La France maltraite ses profs et devra en payer le prix

05.

Ce qui s'est vraiment passé au sein du ministère de l'Education nationale dans les jours ayant précédé la mort de Samuel Paty

06.

Bahar Kimyongür : "Dans sa fuite en avant, Erdogan n'hésitera pas à faire flamber le danger islamiste en France"

01.

Non, la République ne peut pas protéger les musulmans de l’islam radical et voilà pourquoi

02.

François Hollande : "une partie minoritaire de la gauche a pu manifester une étrange tolérance envers l’islam"

03.

Islamisme : pour Alain Juppé, "plus que du séparatisme, c'est un esprit de conquête"

04.

Islamo-gauchisme : les lendemains ne chantent plus, c'est interdit

05.

Covid-19 : voilà ce que l’Etat n’a toujours pas compris sur son incapacité à enrayer la deuxième vague

06.

Et cette pancarte vous la trouvez grotesque, inappropriée ou simplement abjecte ?

ça vient d'être publié
pépites > Education
Education Nationale
Rentrée du 2 novembre : un hommage à Samuel Paty sera organisé dans les écoles
il y a 43 min 31 sec
décryptage > Histoire
Identifier la menace

Guerre des civilisations ou guerre au sein de l’islam ?

il y a 3 heures 56 min
décryptage > France
Vocabulaire

Ensauvagement : une fois encore, Laurent Mucchielli parle trop vite…

il y a 4 heures 30 min
pépite vidéo > Europe
Paris - Ankara
L'Union européenne apporte son soutien à la France après l'appel au boycott des produits français
il y a 4 heures 51 min
décryptage > Histoire
Origines du mythe

Alerte aux vampires : comment des cadavres en décomposition ont provoqué la première crise de panique collective en 1720

il y a 5 heures 46 min
décryptage > Santé
Hiver de la dépression

Puisque nous sommes partis pour des reconfinements, que faire pour éviter une violente crise de santé mentale ?

il y a 6 heures 29 min
décryptage > Politique
Sondage pour 2022

Mais qu’est ce qu’ont vraiment loupé les partis pour que 79% des Français soient désormais prêts à un vote anti-système ?

il y a 7 heures 17 min
décryptage > Politique
Trouvaille linguistique

Et l'attaché parlementaire d'Aurélien Taché dénonça les "exhibisionistes"...

il y a 7 heures 41 min
décryptage > Economie
Atlantico Business

Trump ou Biden : les deux candidats ont un seul et même remède pour sauver l’économie, endetter l’Amérique

il y a 7 heures 48 min
décryptage > Culture
Atlanti Culture

"Suits : Avocats sur mesure" : une série souvent haletante, mais un peu irrégulière, quelques épisodes sont décevants, en particulier la saison 7

il y a 21 heures 38 min
pépites > Justice
Décision
La justice administrative valide la fermeture temporaire de la mosquée de Pantin
il y a 1 heure 29 min
décryptage > Culture
Septième art

Les banalités subversives de Maïwenn

il y a 4 heures 4 min
pépites > Santé
Choix cornélien : épidémie ou économie
Coronavirus : le reconfinement n'est plus tabou, couvre-feu élargi, confinement général ou local ?
il y a 4 heures 48 min
pépites > Politique
Relations humaines
Tensions internes dans la cellule diplomatique de l'Elysée et rapports tendus avec le Quai d'Orsay
il y a 5 heures 24 min
décryptage > Société
Dangers des nouveaux outils

Les objets connectés, des armes redoutables aux mains des auteurs de violences familiales

il y a 6 heures 30 sec
décryptage > Economie
Réindustrialisation

Et pendant ce temps là, sur le front de l’industrie, on continue à faire des âneries

il y a 6 heures 51 min
pépites > Justice
Terrorisme
Selon Gérald Darmanin, le Collectif contre l’islamophobie en France (CCIF) est une officine contre la République
il y a 7 heures 35 min
décryptage > Politique
Cendres et bouillie

Un sondage dévastateur pour Macron et aussi, hélas, pour la France

il y a 7 heures 44 min
décryptage > Economie
Mesures d'urgence

Sommet social : et s’il y avait une seule réforme à faire par ces temps de pandémie, laquelle serait-elle ?

il y a 7 heures 52 min
décryptage > Culture
Atlanti Culture

"L'Aiglon - le rêve brisé de Napoléon" de Laetitia de Witt : un portrait du fils de l'Empereur, historiquement fiable et chaleureusement humain

il y a 21 heures 51 min
© REUTERS/Mal Langsdon
© REUTERS/Mal Langsdon
Une brêche béante

Comment Heartbleed a mis en évidence les faiblesses de l’Internet open source

Publié le 21 avril 2014
Heartbleed est une faille internet qui existe depuis maintenant deux ans. Elle a potentiellement permis à nombre de hackers et de cybercriminels de s'infiltrer sur près de la moitié des sites où sont stockées des données personnelles normalement cryptées, comme un mot de passe ou des données bancaires.
Maxime Pinard
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Maxime Pinard est directeur de Cyberstrategia, site d'analyse stratégique portant sur les enjeux du cyberespace et de la géopolitique en général. Il est adjoint aux formations à l'IRIS, en charge de l'enseignement à distance et de la formation "Action...
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Heartbleed est une faille internet qui existe depuis maintenant deux ans. Elle a potentiellement permis à nombre de hackers et de cybercriminels de s'infiltrer sur près de la moitié des sites où sont stockées des données personnelles normalement cryptées, comme un mot de passe ou des données bancaires.

Atlantico : Heartbleed a récemment secoué l'ensemble du web. Pour autant cette faille existe depuis plus de deux ans, et n'a été découverte que récemmentu. Que traduit-elle finalement, de l'état d'Internet et de l'open source ? Est-ce vraiment le lieu sûr que l'on prétend ?

Maxime Pinard : Je pense qu’il faut distinguer les problèmes posés par Heartbleed. Le temps d’existence de cette faille me semble le plus préoccupant, même si ce n’est pas un cas isolé, de même qu’il serait intéressant de savoir qui était au courant de Heartbleed : NSA, géants du Web, hackers ?

Concernant la nature open source d’OpenSSL, j’y verrais au contraire davantage une chance qu’une faille, dans la mesure où il s’agit d’un logiciel libre, capable d’être analysé par tout bon codeur. Certes, cela signifie que les clés du logiciel sont accessibles en théorie à l’ensemble des internautes, dont des cybercriminels, mais l’histoire d’Internet montre que c’est avec ce genre de conception de l’informatique (open source) que l’on parvient à améliorer sensiblement et dans un délai relativement court la sécurité des logiciels.

La situation aurait été radicalement différente s’il s’était agi d’un logiciel propriétaire, l’entreprise détentrice des droits subissant les foudres de ses clients et devant parer avec ses propres ressources. On l’imagine mal en effet dévoiler à la communauté d’internautes le code source du dit-logiciel, même si cela serait dans l’intérêt commun.

L’histoire d’Heartbleed montre en tout cas qu’Internet, en dépit d’un discours bien trop rassurant vis-à-vis des internautes, n’est pas l’espace sûr à 100% que l’on imagine. Internet est un assemblage de technologies de pointe et du travail de millions d’êtres humains qui peuvent faire des erreurs. Comme toute "machine", Internet peut connaître des dysfonctionnements.

Quelles sont les premières causes de ces failles ? L'harmonisation du web, si elle forme un plus indéniable, n'en est-elle pas une également ?

Pour répondre à la première partie de votre question, je ferai un parallèle avec l’industrie automobile. A l’exception de très rares cas, lorsqu’on achète une voiture, elle répond à un cahier des charges extrêmement précis et rigoureux et demande plusieurs phases de test et de sécurisation avant d’être commercialisée pour des raisons de sécurité évidentes. Dans le secteur des NTIC, la situation devrait être identique, mais ce n’est pas le cas. Afin de ne pas être dépassé par un concurrent, une entreprise des NTIC va sortir très fréquemment (des cycles de 6 mois parfois !) des produits certes opérationnels, mais qui ne sont pas totalement finalisés techniquement. On se retrouve ainsi avec des outils technologiques, des logiciels ou des services Web qui vont faire l’objet de mises à jour successives (comme chez Microsoft avec Windows) afin de combler les failles de sécurité ou les bugs laissés inévitablement par les programmeurs. De toute manière, on ne peut garantir pour des logiciels aux fonctions complexes comme un système d’exploitation qu’une erreur ne se sera glissée dans les millions de lignes de code écrites.

Concernant la notion d’harmonisation du Web, elle me paraît fondamentale. Ce qui fait la force d’Internet aujourd’hui, c’est son interopérabilité : que vous soyez aux Etats-Unis ou dans une ville au nord du Japon, que vous utilisiez un ordinateur équipé de tel ou tel OS, vous devez pouvoir (si les services ont bien été conçus) accéder à l’information comme n’importe quel autre internaute. Internet doit continuer à obéir à des standards appliqués par tous pour conserver son identité. L’idée de protocoles plus ciblés, sûrs mais cloisonnés à un univers informatique précis, peut sembler séduisante mais elle serait dangereuse à court terme.

Des experts américains évoquent un "nœud de spaghettis" pour parler des lignes de codes qui composent le web. Y-a-t-il moyen de "démêler" tout cela ? Comment sécuriser Internet, finalement ?

La solution ultime n’existe clairement pas. En revanche, il y a une marge de progression possible pour améliorer sensiblement la sécurisation d’Internet. Cela passe déjà par une plus grande attention des créateurs de protocoles et logiciels à la correction de bugs et de failles avant la publication de leur travail, tout en reconnaissant que ce n’est guère évident dans un contexte économique et stratégique où c’est souvent le premier à sortir un produit qui s’assure une position confortable.

Cela nécessite aussi, et surtout, une plus grande prise de conscience de la part des internautes qu’Internet est une entité en construction et que même si ses fondations sont solides, elle n’en demeure pas moins fragile. De plus, il serait envisageable que les internautes soient plus en alerte sur les services qu’ils utilisent, exigeant que ces derniers soient mis à jour régulièrement, selon un calendrier prédéfini, ce qui est déjà fait par de nombreuses sociétés des NTIC.

Enfin, on pourrait souhaiter une plus grande démocratisation des savoirs liés globalement à l’informatique, ce qui participerait à une réactivité accrue en cas de défaillance d’Internet (réinitialisation des services).

Faut-il se préparer à d'autres catastrophes de l'ampleur d'Heartbleed ?

C’est une probabilité qu’il faut assurément envisager, même s’il faut reconnaître qu’Heartbleed a un tel niveau de dangerosité qu’il est un peu à part. Avec une part toujours plus croissante des nouvelles technologies dans nos sociétés et nos modes de vie, les failles vont s’accroître, de même que les conséquences pour le bon fonctionnement de nos services. Le vrai problème avec ce genre de "catastrophes", c’est qu’elles sont difficiles à cerner rapidement. La faille a certes été découverte, mais aujourd’hui, personne n’est en mesure de dire combien il y a eu d’actes cybercriminels utilisant cette faille.

Les commentaires de cet article sont à lire ci-après
Commentaires (5)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
Verdan
- 21/04/2014 - 17:20
Atlantico, expertisez vos experts et coachez-les !
Merci à Sossa et Apicius de nous donner des explications que l'article ne fournit pas (ou de manière confuse).
On aimerait que
1) Atlantico choisisse des experts qui sachent expliquer clairement une question technique (bien sûr ce n'est pas facile).
2) Atlantico donne des consignes ou des conseils du point de vue expression, aux experts qu'il choisit, et relise leurs réponses. C'est possible pour des sujets qui ne sont pas dans l'actualité brûlante.
Mais pour cela il faudrait que les journalistes d'Atlantico cessent de succomber aux accroches qu'ils croient sensationnelles ou spirituelles et qui ne sont souvent que superficielles si ce n'est trompeuses.
Sossa
- 21/04/2014 - 10:45
Suite
Par ailleurs, l'erreur de programmation causant heartbleed est la tarte à la crème des erreurs exploitables, un buffer overflow ; elle est de plus quand on regarde le code particulièrement évidente. Tellement facile à éviter, et tellement classique, qu'on peut légitimement se demander comment elle a pu arriver dans un logiciel de sécurité aussi déployé: vraie erreur ou malveillance ? Une vraie erreur n'est pas à exclure, car OpenSSL bien qu'étant massivement utilisé ne dispose que de peu de moyens pour son développement. En tous cas, pas de malveillance des géants du web, puisque ceux utilisant les versions visées d'OpenSSL étaient bien touchés, ceux non touchés étant ceux ne l'utilisant pas (comme Microsoft ou Amazon). Alors malveillance d'une agence de sécurité, ou d'un hacker ? Tout est possible, c'est de l'open source, tout le monde peut apporter sa pierre à l'édifice. De quoi relancer la guerre logiciel propriétaire ou open source ? Bien que ce soit la faille la plus grave dont on ait eu connaissance, et qu'elle touche de l'open source, pas vraiment. Qui nous dit qu'une telle faille n'a pas touché un logiciel propriétaire, mais que la gravité en a été cachée par son créateur ?
Apicius
- 21/04/2014 - 10:34
Comment Atlantico titre n'importe quoi pour appâter
Le titre de l'article est en totale contradiction avec les propos tenus !
J'ai pensé en voyant ce titre qu'il s'agissait d'un texte écrit par un affidé de Microsoft ou d'Apple pour défendre la cause des logiciels propriétaires.
Ce n'est pas la teneur de l'article.
Heureusement qu'il y a l'Open Source, ce qui permet à n'importe qui - pour peu que la volonté et les compétences existent - de vérifier la pertinence d'un tel logiciel.
Atlantico devrait s'astreindre à un peu plus de rigueur intellectuelle.