Problème sur OpenSSL : cette nouvelle faille d’une grande gravité détectée par ceux qui avaient déjà repéré Heartbleed

Atlantico : Une équipe de développeurs chargée de programmer OpenSSL a découvert une nouvelle faille sur OpenSSL. Après le bug Heartbleed l'an dernier qui permettait ni plus ni moins de voler des informations protégées, comment expliquer qu'il y ait autant de failles sur OpenSSL?

Jérôme Saiz : Depuis sa création en 1998 OpenSSL joue un rôle capital dans la sécurité des échanges sur Internet. Et pourtant, en dépit de son caractère stratégique, ce projet est mené essentiellement par des volontaires. L’an dernier, au moment où été rendue publique la vulnérabilité Heartbleed, le projet OpenSSL ne comptait qu’un seul développeur à plein temps, secondé par une poignée de bénévoles répartis à travers le monde.  Il y a donc un décalage stupéfiant entre l’importance d’OpenSSL dans la vie quotidienne d’Internet et le peu de moyens à sa disposition.

L’onde de choc provoquée par la médiatisation de Heartbleed a certes permis une prise de conscience : à l’initiative de la Linux Foundation des géants tels Google, Facebook, Amazon et bien d’autres ont ainsi accepté de soutenir le développement de projets Open Source sous-financés, dont OpenSSL en premier lieu. Baptisé Core Infrastructure Initiative, ce programme de presque 4 millions de dollars sur trois ans a déjà permis au projet OpenSSL d’embaucher un développeur supplémentaire. Mais les choses ne se font pas du jour au lendemain.

Et puis il faut bien comprendre que OpenSSL, c’est de la cryptographie : c’est un sujet complexe, délicat, où les compétences sont rares et les erreurs faciles. S’il y a bien un domaine dans la sécurité des systèmes d’information qui ne s’improvise pas, c’est le chiffrement. Et même les spécialistes ne sont pas à l’abri de commettre une erreur.

Enfin OpenSSL est un projet ancien. On n’a aucune garantie à ce jour que d’autres vulnérabilités "historiques" ne s’y cachent pas encore. L’on suspecte par exemple que la faille Heartbleed était connue des services de renseignement américains deux ans avant sa découverte publique. Un audit du code d’OpenSSL financé par la Core Infrastructure Initiative a été lancé au printemps 2015 afin de s’assurer de l’absence de failles anciennes. Ironiquement ses premiers résultats devaient être rendus publics ce mois-ci. Et il n’est pas réalisé par des amateurs. La preuve, encore une fois, que la cryptographie est un sujet terriblement complexe.

La faille a été qualifiée de "haute importance", comment peut-elle être exploitée à mauvais escient? Jusqu'où pourrait-on aller concrètement ?

On ne connaît pas encore le détail de la vulnérabilité qui sera annoncée. Tout ce que l’on sait c’est que la fondation OpenSSL l’a classée de "haute importance". Selon leurs propres critères ce niveau est attribué à une faille qui permettrait un déni de service majeur, une fuite de mémoire importante ou l’exécution de code arbitraire à distance. Ces facteurs sont aggravés si la vulnérabilité est activement exploitée par des pirates avant la publication d’une version corrective. La faille Heartbleed, par exemple, a été classée critique.
Mais à niveau de criticité égal il est nécessaire de faire une distinction entre ces différents types d’attaques. Ainsi par exemple entre un déni de service et l’exécution de code sur le serveur, cette dernière vulnérabilité sera largement plus sérieuse car elle permettra la prise de contrôle de la machine visée, contrairement au déni de service.

Peut-on imaginer que des données hautement sensibles puissent être piratées grâce à cette faille ? Le simple particulier est-il lui aussi concerné ? Comment peut-on se protéger contre ses risques ?

On estime qu’OpenSSL est utilisé par les trois-quarts des serveurs sur Internet. Ce projet sécurise les échanges de données entre utilisateurs, administrations, banques en ligne... Il est la pièce maîtresse des échanges sécurisés sur Internet. Outre le chiffrement, il permet de signer des documents électroniques et d’en vérifier les signatures ou de s’assurer que le site sur lequel on est n’est pas une imitation conçue par un pirate pour voler nos données personnelles. Donc oui, une faille majeure d’OpenSSL peut signifier la perte de données hautement sensibles.

Mais il ne faut pas non plus penser que les responsables de la sécurité d’entités à risque sont nés de la dernière pluie : on sait que de telles failles sont possibles et on évite donc de se mettre dans une situation où la sécurité de nos données ne dépend plus que d’une seule solution.  Le concept de défense en profondeur permet justement de minimiser de tels risques.

Enfin, c’est le rôle des responsables de la sécurité de mener une veille sur de telles vulnérabilités et de se mettre en ordre de bataille pour être en mesure d’appliquer le correctif (ou mettre la version vulnérable à jour, dans ce cas) dès la publication. Une étude a montré que l’immense majorité des serveurs piratés le sont via une faille dont le correctif était disponible depuis plus d’un an. Donc les gens qui font correctement leur travail et corrigent dès la publication (sans ignorer bien entendu les tests préalables nécessaires !) réduisent leur risque de manière significative.

OpenSSL cherche à mettre à jour le plus rapidement possible une nouvelle version pour colmater la brèche. Comment corrige-t-on une telle faille ?

Dans le cas particulier d’OpenSSL c’est plutôt simple : une nouvelle version est publiée, qu’il convient d’installer à la place de la précédente (après l’avoir testée, bien sûr !). La plupart du temps c’est l’affaire de quelques minutes.

Mais ce n’est pas toujours aussi simple : certaines mises à jour peuvent se révéler incompatibles avec les logiciels existants, ou encore être trop lourdes pour le matériel (c’est courant dans le cas de l’informatique embarquée, par exemple : un pèse-légumes de supermarché n’est pas vraiment une bête de course informatique…), ou d’autres encore peuvent exiger le redémarrage d’un serveur dont on n’est pas franchement certain qu’il repartira (et qui, bien entendu, est chargé d’une mission critique…).

Tout ceci, cependant, est avant tout une question d’anticipation, de processus et de méthode, que les professionnels doivent savoir gérer.

Dans quelle mesure cette faille peut-elle remettre en question la sécurité même du système de l'open source ? Pourquoi ?

Non, le principe de l’Open Source ne sera évidemment pas remis en question par une vulnérabilité, aussi importante soit-elle. L’on a vu bien pire dans le domaine commercial et pourtant les logiciels continuent de se vendre ! Au contraire, je pense qu’une telle vulnérabilité peut renforcer la prise de conscience collective : il est totalement inconscient de laisser un pan majeur de la sécurité Internet reposer sur un projet sous-financé, qui jusqu’à l’année dernière ne vivait que de dons. Les développeurs d’OpenSSL font un travail monastique, quasi-bénévolement et qui bénéficie aux plus grandes fortunes du web.  Cela n’est pas un problème en soi car les principes de l’Open Source l’acceptent volontiers. Mais le gouffre entre l’importance de ce projet pour l’économie numérique et les libertés individuelles d’une part, et d’autre part les faibles moyens qui lui sont alloués pose, lui, un véritable problème. Alors si cette nouvelle vulnérabilité doit remettre quelque chose en question, c’est peut-être ce déséquilibre.