Heartbleed, la faille de sécurité bien marketée

L'actualité numérique Vendredi 11 avril 2014

Réécoute
Heartbleed, la première faille de sécurité avec un joli logo
Tant qu’on laissera les entreprises privées s’occuper de la pédagogie auprès du grand public, on risque de retrouver ce paradoxe: les failles de sécurité doivent être le plus sexy possible pour nous faire peur.

 

Depuis quelques jours, une inquiétante faille de sécurité frappe l’Internet, "Heartbleed", qui concerne de très nombreux sites et peut mettre en danger les mots de passe des utilisateurs

Malgré son extrême technicité, ce bug a connu étonnamment une grande couverture médiatique. En aurait-on autant parlé si cette faille aride n'avait pas un si joli nom, "Heartbleed", le saignement de coeur, et un si élégant logo ?

Qui nomme les failles de sécurité ?

Personne ne s’est demandé d’où venait ce nom et ce logo, repris par tous les médias dans leur illustration du bug. Il faut rappeler une évidence : une faille de sécurité n’a pas spontanément un nom. C’est comme pour les ouragans, Irene ou Cindy, il faut bien quelqu’un pour les nommer.

Pour les ouragans, c’est l’Organisation météorologique mondiale qui s’en charge, et ça ne souffre pas de critique. Pour les bugs, c’est plus problématique, ce sont souvent ceux qui en vivent, les entreprises de sécurité informatique, qui les baptisent.

La faille "Heartbleed" a été découverte par Codenomicon, une entreprise finlandaise qui corrige des bugs pour des grandes entreprises, comme Microsoft ou Adobe.

Dans un premier temps, la faille de sécurité s’appelait “CVE-2014-0160”. Mais Codenomicon a vite compris qu’ils avaient de l’or entre les mains: quoi de mieux pour une entreprise de sécurité informatique que de découvrir une faille qui force le monde entier à changer ses mots de passe?L’entreprise a donc fait travailler son département marketing sur cette faille, en achetant le nom de domaine heartbleed.com (un ancien site emo) et en demandant à une graphiste de réaliser le logo.

Pédagogie du bug

Le site heartbleed.com se présente comme un innocent FAQ sur le bug, et a été repris par les médias comme la page officielle de la faille de sécurité. Ce qui est totalement absurde, comme si le bug lui-même avait mis en place un service après-vente de ses méfaits. Évidemment, si on scrolle tout en bas de la page, on tombe sur le logo de Codenomicon.

L'entreprise finlandaise aura au moins permis de rendre public cette faille de sécurité inquiétante. Ce dont se réjouit Miia Vuontisjärvi, du service marketing de Codenomicon:

Cela rend la sécurité informatique plus démocratique. Ce problème était trop important pour rester entre les mains de la communauté de la sécurité informatique. Voir presque un tweet par seconde sur le sujet par le grand public est quelque chose de réconfortant et qui nous redonne foi dans l'Internet

 

Il est vrai que Codenomicon a fait beaucoup pour la pédagogie du bug. En même temps, on peut s’interroger sur ce marketing de la peur, qui tente de rendre sexy une faille de sécurité et qui privatise un problème qui nous concerne tous.

C’est un peu comme si on allait sur cancerducolon.fr et qu'on tombait sur un site de l’industrie pharmaceutique, qui aurait dessiné un joli logo officiel du cancer du colon, et qui nous donnerait les bons conseils pour se soigner.

Tant qu’on laissera les entreprises privées s’occuper de la pédagogie auprès du grand public, on risque de retrouver ce paradoxe de Heartbleed: les failles de sécurité doivent être le plus sexy possible pour nous faire peur. Comme les méchants dans les blockbusters.

Vincent Glad.

 


 

Photo: Illustration de digitaltrends.com

> Retrouvez toutes les chroniques "L'actualité numérique"

> Abonnez-vous aux podcasts : RSS et iTunes

Commentaires