En direct
Best of
Best of du 27 juin au 3 juillet
En direct
Articles populaires
Période :
24 heures
7 jours
01.

Les Français ont rattrapé les Allemands en... consommation de produits bio

02.

Horizon 2022 : le sondage qui (re)douche les espoirs de la droite LR

03.

Wall Street se résout à voir arriver Joe Biden et anticipe (sans enthousiasme) ce qui peut se passer après Trump.

04.

Reformator ? Quitte à jouer à l’éléphant dans un magasin de porcelaine, que changer pour une justice plus efficace ET plus respectueuse des libertés ?

05.

Macron dans le piège du micro-management; Philippe face à une fenêtre politique étroite, Castaner à la vengeance de Castex, Aubry à de graves accusations d’irrégularités, la France à de mauvais choix de relocalisation; Amazon au secours du cinéma français

06.

Pourquoi Israël va annexer la vallée du Jourdain

07.

Coronavirus : et si une seconde vague arrive en France, serons-nous capables de la repérer et de réagir à temps ?

01.

La révolution du quotidien viendra des robots

01.

Ophélie Winter médite à la Réunion; Brigitte Macron se promène lugubre en baskets, Edith Philippe souriante en tongs, Catherine Deneuve cheveux au vent et souliers vernis; Melania Trump abuse de l’auto-bronzant; Benjamin Biolay a une fille cachée

02.

Après avoir massivement accepté le télétravail, les Français commencent à en ressentir les perversions...

03.

Sauver la planète ? Le faux-nez de ces "écologistes" qui détestent l'Homme. Et la liberté

04.

Tesla à 200 milliards de dollars, c’est le casse du siècle digital ou la promesse du monde d’après...

05.

Cet esprit de Munich qui affaiblit la démocratie face à une illusion d’efficacité écologique

06.

Souveraineté numérique : le choix inquiétant fait par la BPI pour l’hébergement des données sur les prêts des entreprises françaises affaiblies par le Covid-19

01.

Jean Castex, une menace bien plus grande pour LR qu’Edouard Philippe ?

02.

Cet esprit de Munich qui affaiblit la démocratie face à une illusion d’efficacité écologique

03.

Le président algérien réclame (encore) des excuses à la France. Quand sera-t-il rassasié ?

04.

Et le ministre (Dupond-Moretti) brûla ce que l'avocat (Dupond-Moretti) avait adoré !

05.

Reformator ? Quitte à jouer à l’éléphant dans un magasin de porcelaine, que changer pour une justice plus efficace ET plus respectueuse des libertés ?

06.

Un nouveau Premier ministre pour rien ? Pourquoi la France a plus besoin d’une vision assumée que d’un En-Même-Temps au carré

ça vient d'être publié
pépites > France
Hommage
La gendarme tuée par un chauffard reçoit la légion d'honneur à titre posthume
il y a 14 heures 18 sec
décryptage > Culture
Atlanti Culture

"Chained / Beloved" de Yaron Shani : un dyptique dramatique passionnant autour d’un couple en difficulté…

il y a 14 heures 51 min
pépites > Justice
À coeur ouvert
L'enquête au centre du don des corps s'ouvre pour "atteinte à l’intégrité du cadavre"
il y a 15 heures 39 min
décryptage > Culture
Atlanti Culture

"Le Bureau des légendes" de Éric Rochant : Mille sabords, quelle série !

il y a 16 heures 18 min
décryptage > Culture
Atlanti Culture

"Nous avons les mains rouges" de Jean Meckert : un roman noir publié en 1947, réédité en 2020 : l'Épuration trop "pure et dure"...

il y a 16 heures 42 min
pépites > France
Constat radical
Un groupe de sénateurs pointe la propagation de l'islam politique
il y a 18 heures 10 min
rendez-vous > Politique
Revue de presse des hebdos
Macron dans le piège du micro-management; Philippe face à une fenêtre politique étroite, Castaner à la vengeance de Castex, Aubry à de graves accusations d’irrégularités, la France à de mauvais choix de relocalisation; Amazon au secours du cinéma français
il y a 19 heures 29 min
décryptage > France
Le retour du débat

Retraites : ce qu’il faut comprendre entre les lignes des déclarations sibyllines de Jean Castex

il y a 20 heures 8 min
décryptage > International
Bibi dans l'impasse

Pourquoi Israël va annexer la vallée du Jourdain

il y a 20 heures 42 min
décryptage > Style de vie
Bien Manger pour bien bouger

Que manger avant, pendant et après un entraînement ?

il y a 21 heures 9 min
décryptage > Culture
Atlanti Culture

"Le flambeur de la Caspienne" de Jean-Christophe Rufin : une enquête captivante menée par un, désormais fameux, vice-consul décalé et fin limier

il y a 14 heures 37 min
light > Economie
Couple bio-bobo
Les Français ont rattrapé les Allemands en... consommation de produits bio
il y a 15 heures 25 min
pépites > France
Ça vole haut
Greenpeace déploie une banderole sur la grue de Notre-Dame pour alerter de l'inaction climatique du président
il y a 16 heures 9 min
pépites > Santé
Accord nocturne
Ségur de la santé : un projet d'accord trouvé dans la nuit
il y a 16 heures 31 min
pépite vidéo > International
Retour en arrière
À Melbourne, le confinement fait son grand retour
il y a 17 heures 56 min
décryptage > Justice
Reforme en marche forcée

Reformator ? Quitte à jouer à l’éléphant dans un magasin de porcelaine, que changer pour une justice plus efficace ET plus respectueuse des libertés ?

il y a 19 heures 12 min
décryptage > France
Sécu d'État

Sécurité sociale : les tenants du tout-Etat gagnent du terrain

il y a 19 heures 47 min
décryptage > France
En cas de malheur

Coronavirus : et si une seconde vague arrive en France, serons-nous capables de la repérer et de réagir à temps ?

il y a 20 heures 32 min
décryptage > Culture
L'art scandale

Monde de l’art : les scandales aussi ont leurs maitres

il y a 20 heures 53 min
décryptage > International
Atlantico Business

Wall Street se résout à voir arriver Joe Biden et anticipe (sans enthousiasme) ce qui peut se passer après Trump.

il y a 21 heures 44 min
© REUTERS/Mal Langsdon
© REUTERS/Mal Langsdon
Une brêche béante

Comment Heartbleed a mis en évidence les faiblesses de l’Internet open source

Publié le 21 avril 2014
Heartbleed est une faille internet qui existe depuis maintenant deux ans. Elle a potentiellement permis à nombre de hackers et de cybercriminels de s'infiltrer sur près de la moitié des sites où sont stockées des données personnelles normalement cryptées, comme un mot de passe ou des données bancaires.
Maxime Pinard
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Maxime Pinard est directeur de Cyberstrategia, site d'analyse stratégique portant sur les enjeux du cyberespace et de la géopolitique en général. Il est adjoint aux formations à l'IRIS, en charge de l'enseignement à distance et de la formation "Action...
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Heartbleed est une faille internet qui existe depuis maintenant deux ans. Elle a potentiellement permis à nombre de hackers et de cybercriminels de s'infiltrer sur près de la moitié des sites où sont stockées des données personnelles normalement cryptées, comme un mot de passe ou des données bancaires.

Atlantico : Heartbleed a récemment secoué l'ensemble du web. Pour autant cette faille existe depuis plus de deux ans, et n'a été découverte que récemmentu. Que traduit-elle finalement, de l'état d'Internet et de l'open source ? Est-ce vraiment le lieu sûr que l'on prétend ?

Maxime Pinard : Je pense qu’il faut distinguer les problèmes posés par Heartbleed. Le temps d’existence de cette faille me semble le plus préoccupant, même si ce n’est pas un cas isolé, de même qu’il serait intéressant de savoir qui était au courant de Heartbleed : NSA, géants du Web, hackers ?

Concernant la nature open source d’OpenSSL, j’y verrais au contraire davantage une chance qu’une faille, dans la mesure où il s’agit d’un logiciel libre, capable d’être analysé par tout bon codeur. Certes, cela signifie que les clés du logiciel sont accessibles en théorie à l’ensemble des internautes, dont des cybercriminels, mais l’histoire d’Internet montre que c’est avec ce genre de conception de l’informatique (open source) que l’on parvient à améliorer sensiblement et dans un délai relativement court la sécurité des logiciels.

La situation aurait été radicalement différente s’il s’était agi d’un logiciel propriétaire, l’entreprise détentrice des droits subissant les foudres de ses clients et devant parer avec ses propres ressources. On l’imagine mal en effet dévoiler à la communauté d’internautes le code source du dit-logiciel, même si cela serait dans l’intérêt commun.

L’histoire d’Heartbleed montre en tout cas qu’Internet, en dépit d’un discours bien trop rassurant vis-à-vis des internautes, n’est pas l’espace sûr à 100% que l’on imagine. Internet est un assemblage de technologies de pointe et du travail de millions d’êtres humains qui peuvent faire des erreurs. Comme toute "machine", Internet peut connaître des dysfonctionnements.

Quelles sont les premières causes de ces failles ? L'harmonisation du web, si elle forme un plus indéniable, n'en est-elle pas une également ?

Pour répondre à la première partie de votre question, je ferai un parallèle avec l’industrie automobile. A l’exception de très rares cas, lorsqu’on achète une voiture, elle répond à un cahier des charges extrêmement précis et rigoureux et demande plusieurs phases de test et de sécurisation avant d’être commercialisée pour des raisons de sécurité évidentes. Dans le secteur des NTIC, la situation devrait être identique, mais ce n’est pas le cas. Afin de ne pas être dépassé par un concurrent, une entreprise des NTIC va sortir très fréquemment (des cycles de 6 mois parfois !) des produits certes opérationnels, mais qui ne sont pas totalement finalisés techniquement. On se retrouve ainsi avec des outils technologiques, des logiciels ou des services Web qui vont faire l’objet de mises à jour successives (comme chez Microsoft avec Windows) afin de combler les failles de sécurité ou les bugs laissés inévitablement par les programmeurs. De toute manière, on ne peut garantir pour des logiciels aux fonctions complexes comme un système d’exploitation qu’une erreur ne se sera glissée dans les millions de lignes de code écrites.

Concernant la notion d’harmonisation du Web, elle me paraît fondamentale. Ce qui fait la force d’Internet aujourd’hui, c’est son interopérabilité : que vous soyez aux Etats-Unis ou dans une ville au nord du Japon, que vous utilisiez un ordinateur équipé de tel ou tel OS, vous devez pouvoir (si les services ont bien été conçus) accéder à l’information comme n’importe quel autre internaute. Internet doit continuer à obéir à des standards appliqués par tous pour conserver son identité. L’idée de protocoles plus ciblés, sûrs mais cloisonnés à un univers informatique précis, peut sembler séduisante mais elle serait dangereuse à court terme.

Des experts américains évoquent un "nœud de spaghettis" pour parler des lignes de codes qui composent le web. Y-a-t-il moyen de "démêler" tout cela ? Comment sécuriser Internet, finalement ?

La solution ultime n’existe clairement pas. En revanche, il y a une marge de progression possible pour améliorer sensiblement la sécurisation d’Internet. Cela passe déjà par une plus grande attention des créateurs de protocoles et logiciels à la correction de bugs et de failles avant la publication de leur travail, tout en reconnaissant que ce n’est guère évident dans un contexte économique et stratégique où c’est souvent le premier à sortir un produit qui s’assure une position confortable.

Cela nécessite aussi, et surtout, une plus grande prise de conscience de la part des internautes qu’Internet est une entité en construction et que même si ses fondations sont solides, elle n’en demeure pas moins fragile. De plus, il serait envisageable que les internautes soient plus en alerte sur les services qu’ils utilisent, exigeant que ces derniers soient mis à jour régulièrement, selon un calendrier prédéfini, ce qui est déjà fait par de nombreuses sociétés des NTIC.

Enfin, on pourrait souhaiter une plus grande démocratisation des savoirs liés globalement à l’informatique, ce qui participerait à une réactivité accrue en cas de défaillance d’Internet (réinitialisation des services).

Faut-il se préparer à d'autres catastrophes de l'ampleur d'Heartbleed ?

C’est une probabilité qu’il faut assurément envisager, même s’il faut reconnaître qu’Heartbleed a un tel niveau de dangerosité qu’il est un peu à part. Avec une part toujours plus croissante des nouvelles technologies dans nos sociétés et nos modes de vie, les failles vont s’accroître, de même que les conséquences pour le bon fonctionnement de nos services. Le vrai problème avec ce genre de "catastrophes", c’est qu’elles sont difficiles à cerner rapidement. La faille a certes été découverte, mais aujourd’hui, personne n’est en mesure de dire combien il y a eu d’actes cybercriminels utilisant cette faille.

Les commentaires de cet article sont à lire ci-après
Commentaires (5)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
OneZero
- 21/04/2014 - 17:20
Atlantico, expertisez vos experts et coachez-les !
Merci à Sossa et Apicius de nous donner des explications que l'article ne fournit pas (ou de manière confuse).
On aimerait que
1) Atlantico choisisse des experts qui sachent expliquer clairement une question technique (bien sûr ce n'est pas facile).
2) Atlantico donne des consignes ou des conseils du point de vue expression, aux experts qu'il choisit, et relise leurs réponses. C'est possible pour des sujets qui ne sont pas dans l'actualité brûlante.
Mais pour cela il faudrait que les journalistes d'Atlantico cessent de succomber aux accroches qu'ils croient sensationnelles ou spirituelles et qui ne sont souvent que superficielles si ce n'est trompeuses.
Sossa
- 21/04/2014 - 10:45
Suite
Par ailleurs, l'erreur de programmation causant heartbleed est la tarte à la crème des erreurs exploitables, un buffer overflow ; elle est de plus quand on regarde le code particulièrement évidente. Tellement facile à éviter, et tellement classique, qu'on peut légitimement se demander comment elle a pu arriver dans un logiciel de sécurité aussi déployé: vraie erreur ou malveillance ? Une vraie erreur n'est pas à exclure, car OpenSSL bien qu'étant massivement utilisé ne dispose que de peu de moyens pour son développement. En tous cas, pas de malveillance des géants du web, puisque ceux utilisant les versions visées d'OpenSSL étaient bien touchés, ceux non touchés étant ceux ne l'utilisant pas (comme Microsoft ou Amazon). Alors malveillance d'une agence de sécurité, ou d'un hacker ? Tout est possible, c'est de l'open source, tout le monde peut apporter sa pierre à l'édifice. De quoi relancer la guerre logiciel propriétaire ou open source ? Bien que ce soit la faille la plus grave dont on ait eu connaissance, et qu'elle touche de l'open source, pas vraiment. Qui nous dit qu'une telle faille n'a pas touché un logiciel propriétaire, mais que la gravité en a été cachée par son créateur ?
Apicius
- 21/04/2014 - 10:34
Comment Atlantico titre n'importe quoi pour appâter
Le titre de l'article est en totale contradiction avec les propos tenus !
J'ai pensé en voyant ce titre qu'il s'agissait d'un texte écrit par un affidé de Microsoft ou d'Apple pour défendre la cause des logiciels propriétaires.
Ce n'est pas la teneur de l'article.
Heureusement qu'il y a l'Open Source, ce qui permet à n'importe qui - pour peu que la volonté et les compétences existent - de vérifier la pertinence d'un tel logiciel.
Atlantico devrait s'astreindre à un peu plus de rigueur intellectuelle.