En direct
Best of
Best of du 8 au 14 février
En direct
Articles populaires
Période :
24 heures
7 jours
01.

Macron exaspère ses ministres; Un tenant de l’Islam politique bientôt maire à Garges les Gonesse ?; Radicalisation : les universités de plus en plus soumises à la censure « bien-pensante »; La CEDH influencée par des ONG financées par George Soros

02.

La réaction de la femme de Griveaux

03.

Les suppressions d'emplois chez HSBC annoncent une casse sociale sans précédent dans le secteur bancaire européen

04.

Macron cherche, dit-il, un plan pour lutter contre le "séparatisme islamique". Qu'il commence donc par le nommer comme il se doit !

05.

Elles lynchent Macron en chantant (mal) et en dansant (très mal)…

06.

Selon que vous serez misérable ou puissant, la justice française se mobilisera ou pas

07.

Hausse des salaires et niveau d’emploi record outre-Manche : la France en manque de recette britannique ?

01.

Les ébats sexuels de Griveaux ? Mais on s'en branle !

02.

Le glyphosate : un coupable (trop) idéal

03.

Pourquoi le GriveauxGate n’est pas qu’une question de sexe

04.

Dissolution de l’ordre public : le vrai procès du siècle que les Français devraient intenter à l’Etat

05.

Politique arabe : pourquoi la France n’est plus écoutée au Moyen-Orient depuis la fin de la guerre d'Algérie

06.

Vanessa Paradis seule : son fils va quitter la maison, Samuel n’est pas là; Le nouveau mari de Pamela Anderson effrayé par ses dettes, le compagnon de Laeticia Hallyday pas troublé par ses problèmes financiers; Loana à nouveau dans une relation abusive

01.

Les ébats sexuels de Griveaux ? Mais on s'en branle !

02.

Benjamin Griveaux retire sa candidature à la mairie de Paris après la diffusion de messages et de vidéos à caractère sexuel

03.

Bernard-Henri Lévy : “Les élites n’oublient pas les Français qui souffrent mais les Français, eux, oublient souvent ceux qui souffrent ailleurs dans le monde”

04.

Chantage à la vie privée : le vertige orwellien du monde contemporain

05.

La lutte contre le séparatisme en marche… ou pas

06.

Montée de la contestation radicale, aveuglement gouvernemental, l’étau qui asphyxie insensiblement la démocratie française

ça vient d'être publié
pépite vidéo > Politique
engagement
Rencontre avec le plus jeune maire de France
il y a 59 min 15 sec
décryptage > Culture
Atlanti Culture

Exposition : "Soulages au Louvre" de Pierre Soulages

il y a 1 heure 22 min
pépites > Société
Devoir de mémoire
Enfin un hommage marseillais à Arnaud Beltrame
il y a 1 heure 49 min
décryptage > Terrorisme
Motivations

Dans la tête du tueur de Hanau

il y a 3 heures 18 min
pépites > Santé
Quid du 4ème vol de rapatriés ?
Le point sur les conditions d'accueil des rapatriés français
il y a 4 heures 29 min
light > People
Et madame Griveaux dans tout ça ?
La réaction de la femme de Griveaux
il y a 6 heures 20 min
décryptage > Santé
Ces maladies qu’une bonne alimentation aide à combattre

Une bonne alimentation augmentera vos chances de guérison

il y a 7 heures 43 min
décryptage > International
loin des mille et une nuits

Le jugement des chercheurs français à Téhéran : un signal politique de la part de l'Iran

il y a 8 heures 57 min
rendez-vous > Media
Revue de presse des hebdos
Macron exaspère ses ministres; Un tenant de l’Islam politique bientôt maire à Garges les Gonesse ?; Radicalisation : les universités de plus en plus soumises à la censure « bien-pensante »; La CEDH influencée par des ONG financées par George Soros
il y a 9 heures 54 min
décryptage > Education
la vie devant soi

Non, la réussite professionnelle ne s'obtient pas (uniquement) via un parcours scolaire en ligne droite

il y a 10 heures 55 min
décryptage > Media
L'art de la punchline

Un 19 février en tweets : Jean-Sébastien Ferjou en 280 caractères

il y a 1 heure 12 min
décryptage > Culture
Atlanti Culture

Théâtre : "Trahison" de Harold Pinter : Pour Michel Fau et Harold Pinter

il y a 1 heure 36 min
pépites > Economie
Dans la rue
Baisse des mobilisations contre la réforme des retraites
il y a 2 heures 46 min
pépites > Sport
Dopage
Docteur Mabuse au banc des accusés
il y a 3 heures 57 min
pépite vidéo > Politique
La paille et la poutre
Castaner et la vie privée d'Olivier Faure
il y a 5 heures 13 min
pépites > Terrorisme
Fusillades à Hanau
Fusillades tragiques en Allemagne
il y a 6 heures 59 min
décryptage > Justice
Célérité pour les uns, lenteur pour les autres

Selon que vous serez misérable ou puissant, la justice française se mobilisera ou pas

il y a 8 heures 40 min
décryptage > Politique
Des mots pour ne rien dire

Macron cherche, dit-il, un plan pour lutter contre le "séparatisme islamique". Qu'il commence donc par le nommer comme il se doit !

il y a 9 heures 41 min
décryptage > Europe
Epreuve de force

Quel budget pour l’Europe post Brexit ? Petit diagnostic de l’état de l‘Union

il y a 10 heures 12 min
décryptage > Economie
Might makes right

Hausse des salaires et niveau d’emploi record outre-Manche : la France en manque de recette britannique ?

il y a 11 heures 11 min
© REUTERS/Mal Langsdon
© REUTERS/Mal Langsdon
Une brêche béante

Comment Heartbleed a mis en évidence les faiblesses de l’Internet open source

Publié le 21 avril 2014
Heartbleed est une faille internet qui existe depuis maintenant deux ans. Elle a potentiellement permis à nombre de hackers et de cybercriminels de s'infiltrer sur près de la moitié des sites où sont stockées des données personnelles normalement cryptées, comme un mot de passe ou des données bancaires.
Maxime Pinard est directeur de Cyberstrategia, site d'analyse stratégique portant sur les enjeux du cyberespace et de la géopolitique en général. Il est adjoint aux formations à l'IRIS, en charge de l'enseignement à distance et de la formation "Action...
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Maxime Pinard
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Maxime Pinard est directeur de Cyberstrategia, site d'analyse stratégique portant sur les enjeux du cyberespace et de la géopolitique en général. Il est adjoint aux formations à l'IRIS, en charge de l'enseignement à distance et de la formation "Action...
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Heartbleed est une faille internet qui existe depuis maintenant deux ans. Elle a potentiellement permis à nombre de hackers et de cybercriminels de s'infiltrer sur près de la moitié des sites où sont stockées des données personnelles normalement cryptées, comme un mot de passe ou des données bancaires.

Atlantico : Heartbleed a récemment secoué l'ensemble du web. Pour autant cette faille existe depuis plus de deux ans, et n'a été découverte que récemmentu. Que traduit-elle finalement, de l'état d'Internet et de l'open source ? Est-ce vraiment le lieu sûr que l'on prétend ?

Maxime Pinard : Je pense qu’il faut distinguer les problèmes posés par Heartbleed. Le temps d’existence de cette faille me semble le plus préoccupant, même si ce n’est pas un cas isolé, de même qu’il serait intéressant de savoir qui était au courant de Heartbleed : NSA, géants du Web, hackers ?

Concernant la nature open source d’OpenSSL, j’y verrais au contraire davantage une chance qu’une faille, dans la mesure où il s’agit d’un logiciel libre, capable d’être analysé par tout bon codeur. Certes, cela signifie que les clés du logiciel sont accessibles en théorie à l’ensemble des internautes, dont des cybercriminels, mais l’histoire d’Internet montre que c’est avec ce genre de conception de l’informatique (open source) que l’on parvient à améliorer sensiblement et dans un délai relativement court la sécurité des logiciels.

La situation aurait été radicalement différente s’il s’était agi d’un logiciel propriétaire, l’entreprise détentrice des droits subissant les foudres de ses clients et devant parer avec ses propres ressources. On l’imagine mal en effet dévoiler à la communauté d’internautes le code source du dit-logiciel, même si cela serait dans l’intérêt commun.

L’histoire d’Heartbleed montre en tout cas qu’Internet, en dépit d’un discours bien trop rassurant vis-à-vis des internautes, n’est pas l’espace sûr à 100% que l’on imagine. Internet est un assemblage de technologies de pointe et du travail de millions d’êtres humains qui peuvent faire des erreurs. Comme toute "machine", Internet peut connaître des dysfonctionnements.

Quelles sont les premières causes de ces failles ? L'harmonisation du web, si elle forme un plus indéniable, n'en est-elle pas une également ?

Pour répondre à la première partie de votre question, je ferai un parallèle avec l’industrie automobile. A l’exception de très rares cas, lorsqu’on achète une voiture, elle répond à un cahier des charges extrêmement précis et rigoureux et demande plusieurs phases de test et de sécurisation avant d’être commercialisée pour des raisons de sécurité évidentes. Dans le secteur des NTIC, la situation devrait être identique, mais ce n’est pas le cas. Afin de ne pas être dépassé par un concurrent, une entreprise des NTIC va sortir très fréquemment (des cycles de 6 mois parfois !) des produits certes opérationnels, mais qui ne sont pas totalement finalisés techniquement. On se retrouve ainsi avec des outils technologiques, des logiciels ou des services Web qui vont faire l’objet de mises à jour successives (comme chez Microsoft avec Windows) afin de combler les failles de sécurité ou les bugs laissés inévitablement par les programmeurs. De toute manière, on ne peut garantir pour des logiciels aux fonctions complexes comme un système d’exploitation qu’une erreur ne se sera glissée dans les millions de lignes de code écrites.

Concernant la notion d’harmonisation du Web, elle me paraît fondamentale. Ce qui fait la force d’Internet aujourd’hui, c’est son interopérabilité : que vous soyez aux Etats-Unis ou dans une ville au nord du Japon, que vous utilisiez un ordinateur équipé de tel ou tel OS, vous devez pouvoir (si les services ont bien été conçus) accéder à l’information comme n’importe quel autre internaute. Internet doit continuer à obéir à des standards appliqués par tous pour conserver son identité. L’idée de protocoles plus ciblés, sûrs mais cloisonnés à un univers informatique précis, peut sembler séduisante mais elle serait dangereuse à court terme.

Des experts américains évoquent un "nœud de spaghettis" pour parler des lignes de codes qui composent le web. Y-a-t-il moyen de "démêler" tout cela ? Comment sécuriser Internet, finalement ?

La solution ultime n’existe clairement pas. En revanche, il y a une marge de progression possible pour améliorer sensiblement la sécurisation d’Internet. Cela passe déjà par une plus grande attention des créateurs de protocoles et logiciels à la correction de bugs et de failles avant la publication de leur travail, tout en reconnaissant que ce n’est guère évident dans un contexte économique et stratégique où c’est souvent le premier à sortir un produit qui s’assure une position confortable.

Cela nécessite aussi, et surtout, une plus grande prise de conscience de la part des internautes qu’Internet est une entité en construction et que même si ses fondations sont solides, elle n’en demeure pas moins fragile. De plus, il serait envisageable que les internautes soient plus en alerte sur les services qu’ils utilisent, exigeant que ces derniers soient mis à jour régulièrement, selon un calendrier prédéfini, ce qui est déjà fait par de nombreuses sociétés des NTIC.

Enfin, on pourrait souhaiter une plus grande démocratisation des savoirs liés globalement à l’informatique, ce qui participerait à une réactivité accrue en cas de défaillance d’Internet (réinitialisation des services).

Faut-il se préparer à d'autres catastrophes de l'ampleur d'Heartbleed ?

C’est une probabilité qu’il faut assurément envisager, même s’il faut reconnaître qu’Heartbleed a un tel niveau de dangerosité qu’il est un peu à part. Avec une part toujours plus croissante des nouvelles technologies dans nos sociétés et nos modes de vie, les failles vont s’accroître, de même que les conséquences pour le bon fonctionnement de nos services. Le vrai problème avec ce genre de "catastrophes", c’est qu’elles sont difficiles à cerner rapidement. La faille a certes été découverte, mais aujourd’hui, personne n’est en mesure de dire combien il y a eu d’actes cybercriminels utilisant cette faille.

Les commentaires de cet article sont à lire ci-après
Articles populaires
Période :
24 heures
7 jours
01.

Macron exaspère ses ministres; Un tenant de l’Islam politique bientôt maire à Garges les Gonesse ?; Radicalisation : les universités de plus en plus soumises à la censure « bien-pensante »; La CEDH influencée par des ONG financées par George Soros

02.

La réaction de la femme de Griveaux

03.

Les suppressions d'emplois chez HSBC annoncent une casse sociale sans précédent dans le secteur bancaire européen

04.

Macron cherche, dit-il, un plan pour lutter contre le "séparatisme islamique". Qu'il commence donc par le nommer comme il se doit !

05.

Elles lynchent Macron en chantant (mal) et en dansant (très mal)…

06.

Selon que vous serez misérable ou puissant, la justice française se mobilisera ou pas

07.

Hausse des salaires et niveau d’emploi record outre-Manche : la France en manque de recette britannique ?

01.

Les ébats sexuels de Griveaux ? Mais on s'en branle !

02.

Le glyphosate : un coupable (trop) idéal

03.

Pourquoi le GriveauxGate n’est pas qu’une question de sexe

04.

Dissolution de l’ordre public : le vrai procès du siècle que les Français devraient intenter à l’Etat

05.

Politique arabe : pourquoi la France n’est plus écoutée au Moyen-Orient depuis la fin de la guerre d'Algérie

06.

Vanessa Paradis seule : son fils va quitter la maison, Samuel n’est pas là; Le nouveau mari de Pamela Anderson effrayé par ses dettes, le compagnon de Laeticia Hallyday pas troublé par ses problèmes financiers; Loana à nouveau dans une relation abusive

01.

Les ébats sexuels de Griveaux ? Mais on s'en branle !

02.

Benjamin Griveaux retire sa candidature à la mairie de Paris après la diffusion de messages et de vidéos à caractère sexuel

03.

Bernard-Henri Lévy : “Les élites n’oublient pas les Français qui souffrent mais les Français, eux, oublient souvent ceux qui souffrent ailleurs dans le monde”

04.

Chantage à la vie privée : le vertige orwellien du monde contemporain

05.

La lutte contre le séparatisme en marche… ou pas

06.

Montée de la contestation radicale, aveuglement gouvernemental, l’étau qui asphyxie insensiblement la démocratie française

Commentaires (5)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
OneZero
- 21/04/2014 - 17:20
Atlantico, expertisez vos experts et coachez-les !
Merci à Sossa et Apicius de nous donner des explications que l'article ne fournit pas (ou de manière confuse).
On aimerait que
1) Atlantico choisisse des experts qui sachent expliquer clairement une question technique (bien sûr ce n'est pas facile).
2) Atlantico donne des consignes ou des conseils du point de vue expression, aux experts qu'il choisit, et relise leurs réponses. C'est possible pour des sujets qui ne sont pas dans l'actualité brûlante.
Mais pour cela il faudrait que les journalistes d'Atlantico cessent de succomber aux accroches qu'ils croient sensationnelles ou spirituelles et qui ne sont souvent que superficielles si ce n'est trompeuses.
Sossa
- 21/04/2014 - 10:45
Suite
Par ailleurs, l'erreur de programmation causant heartbleed est la tarte à la crème des erreurs exploitables, un buffer overflow ; elle est de plus quand on regarde le code particulièrement évidente. Tellement facile à éviter, et tellement classique, qu'on peut légitimement se demander comment elle a pu arriver dans un logiciel de sécurité aussi déployé: vraie erreur ou malveillance ? Une vraie erreur n'est pas à exclure, car OpenSSL bien qu'étant massivement utilisé ne dispose que de peu de moyens pour son développement. En tous cas, pas de malveillance des géants du web, puisque ceux utilisant les versions visées d'OpenSSL étaient bien touchés, ceux non touchés étant ceux ne l'utilisant pas (comme Microsoft ou Amazon). Alors malveillance d'une agence de sécurité, ou d'un hacker ? Tout est possible, c'est de l'open source, tout le monde peut apporter sa pierre à l'édifice. De quoi relancer la guerre logiciel propriétaire ou open source ? Bien que ce soit la faille la plus grave dont on ait eu connaissance, et qu'elle touche de l'open source, pas vraiment. Qui nous dit qu'une telle faille n'a pas touché un logiciel propriétaire, mais que la gravité en a été cachée par son créateur ?
Apicius
- 21/04/2014 - 10:34
Comment Atlantico titre n'importe quoi pour appâter
Le titre de l'article est en totale contradiction avec les propos tenus !
J'ai pensé en voyant ce titre qu'il s'agissait d'un texte écrit par un affidé de Microsoft ou d'Apple pour défendre la cause des logiciels propriétaires.
Ce n'est pas la teneur de l'article.
Heureusement qu'il y a l'Open Source, ce qui permet à n'importe qui - pour peu que la volonté et les compétences existent - de vérifier la pertinence d'un tel logiciel.
Atlantico devrait s'astreindre à un peu plus de rigueur intellectuelle.