La menace Heartbleed persiste : la majorité des serveurs encore vulnérables à la super faille informatique (et c’est parti pour durer)

Atlantico : Bien que l'affaire "Heartbleed" ait été révélé dès avril, des centaines de milliers de serveurs restent vulnérables. Comment expliquer une telle persistance ?

Michel Nesterenko : La mise à jour des serveurs informatiques demande du temps et de l'expertise ce qui coute fort cher. Ce coût et l'expertise est souvent bien au-delà des capacités des entreprises de moindre taille. Dans certains cas c'est le serveur lui même qu'il faut changer alors qu'il fonctionne encore fort bien … donc on prends le risque. Mais la sécurité est au niveau du maillon le plus faible, donc autant dire que le système global vas rester vulnérable pendant très longtemps.

Au manque de volonté sécuritaire, il faut souligner que ce type de mise à jour des serveurs peut impacter voire rendre inopérants d'autres logiciels particuliers à l'entreprise. Leurs mises à jour est pratiquement impossible, ce qui risque d'interdire les prises de commandes ou d'empêcher de localiser du matériel en transit par exemple. Cela nous rappelle que les "bugs" ne sont pratiquement jamais totalement éradiqués, comme les virus humains d'ailleurs. Seul le changement complet des systèmes ou de langage informatique permet de se défaire de ce fléau ce qui prends des dizaines d'années.

Les utilisateurs français sont-ils aussi touchés que les autres ?

C'est l'un des résultats néfastes de la Globalisation. Nous utilisons tous les mêmes logiciels afin de pouvoir communiquer sans faille. Nous sommes donc tous dans la même galère. La vraie question à se poser est sur le niveau de civisme informatique des Français et des Entreprises françaises. Chacun de nous met-il à jour régulièrement et immédiatement tous les appareils Iphone, Ipad, et ordinateurs à sa disposition ? Utilisons nous tous les systèmes de défense pare-feu et anti-virus disponibles ? Faisons nous toutes les vérifications et tests au minimum chaque semaine ? Quel est le vrai niveau de connaissance de défense informatique de l'utilisateur Français ?

Que doit nous apprendre cette affaire sur le long terme en matière de cyber-sécurité ?

Le consensus des Experts en matière de sécurité informatique est que le principe du château fort ne protège rien ce qui a un coût de productivité important. La solution est de rendre le système informatique résilient. C'est à dire de mettre en place une certaine redondance et diversité de systèmes afin de contrôler les attaques autant que possible pour s'assurer que le fonctionnement de l'entreprise ne soit pas interrompu. De la même manière les meilleures entreprises se préparent à survivre à moindre frais aux inondations et aux tremblements de terre.

La première ligne de défense est dans la formation continue à la défense informatique de tout le personnel ayant accès au réseau de l'entreprise, y compris et surtout l'utilisation des emails. Cette règle est valable pour les cadres mais aussi et surtout pour les secrétariats. Au niveau National peut être serait il temps d'introduire dans les lycées des cours et examens obligatoires sur les principes, méthodes et moyens de défense informatique. Cette éducation qui sera de plus en plus indispensable dans la vie professionnelle, aura peut être aussi un effet bénéfique sur l'utilisation inappropriée des réseaux sociaux par les ados. Et il en est de même pour les seniors aujourd'hui ont de plus en plus besoin d'internet pour la vie courante et donc de savoir comment se protéger.