Heartbleed: pourquoi a-t-il fallu 2 ans pour trouver ce bug ?

L'actualité numérique Mardi 15 avril 2014

Réécoute
Heartbleed: pourquoi a-t-il fallu 2 ans pour trouver ce bug?
Le bug Heartbleed, qui secoue le Net depuis une semaine et expose potentiellement les données sensibles de chaque internaute, existe depuis début 2012. Pourquoi un bug si risqué, présent sur un service si populaire, n'a-t-il pas été débusqué plus tôt? Peut-être parce que tout en l'utilisant, personne ne paie pour entretenir le service en question...

 

C'est la grosse actualité numérique du moment: Heartbleed, pour coeur qui saigne, du nom donné à cette faille qui fait peur, et à raison. Ce bug touche en effet l’un des services les plus utilisés sur Internet pour protéger nos échanges en les rendant opaques aux yeux du monde -on parle de "chiffrement".

Ce service s'appelle Open SSL et il se retrouve dans les serveurs de gros sites tels que Google, Facebook ou Yahoo, mais aussi de plus petits poissons du Net, comme Darty en France, et des administrations à travers le monde -le site du FBI a même a été touché, c'est dire! Sans oublier bien d'autres services connectés, comme les boîtes mails, les smartphones et leur système de mise à jour, les routeurs, bref ! c’est tout Internet qui est touché.

 

Et pour rappel, si les experts du réseau sont si inquiets et vous invitent à être aussi vigilants, c'est parce que l'exploitation de cette faille Heartbleed peut permettre récolter certaines informations sensibles, telles que vos mots de passe voire même vos identifiants bancaires.

Une faille présente depuis deux ans

Problème: même si vous prenez les mesures nécessaires pour protéger aujourd'hui vos comptes sur Internet, en changeant par exemple vos mots de passe sur les sites touchés qui ont depuis réparé l'erreur, rien n'assure que vos informations n'ont pas déjà été pillées sur le réseau.

En effet, le "coeur saigne" -pour reprendre l'effet dramatique du sobriquet donné au bug- depuis début 2012, date à laquelle les lignes de code sur lesquelles s’appuie Open SSL pour fonctionner ont été modifiées par une mise à jour toute bête. Dans laquelle s’est donc glissée une erreur. Un aléas assez banal à en croire les développeurs web dont c'est le métier, mais dont les conséquences elles, sont autrement moins banales: potentiellement tout internaute est concerné.

Pourquoi alors a-t-il fallu tant de temps pour repérer ce bug qui représente autant de risques et présent sur un service aussi populaire? Présenté comme ça, la configuration laisse entendre que le moindre changement d’Open SSL est automatiquement et nécessairement passé au crible vu son importance… Sauf que c'est loin d'être le cas.

Open SSL: une poignée de développeurs... bénévoles

Il faut savoir qu'Open SSL n'est pas une entreprise classique. C'est un projet collaboratif qui ne compte qu’une poignée de développeurs (dont la liste et les adresses mail sont consultables librement sur leur site). Et encore, pour la plupart bénévoles, qui contribuent sur leur temps libre à la création de ce service pourtant utilisé par tout le monde.

Pourquoi ? Parce qu'Open SSL est une solution dite "open source". Source ouverte donc, ou presque: le code de ce cadenas du Net est accessible à tous. Et peut être modifié par tous dans l'objectif d'améliorer l'efficacité de ce produit si essentiel pour la confidentialité des communications sur Internet.

Même si en pratique néanmoins, seules quelques personnes ont la charge de vérifier les propositions de mise à jour et de les incorporer au code qui tourne donc sur les ⅔ des serveurs du Net, pour donner une estimation qui a pas mal tourné dans la presse.

Et c'est là qu'on arrive au paradoxe d'Open SSL, malheureusement fréquent dans les projets similaires: ce service a beau être extrêmement populaire, et "servir comme fondement de l'économie américaine" avance The Vox, il reste complètement sous-financé.

Populaire mais sans le sou

Son budget en 2013 ne dépassait pas le million de dollars, poursuit The Vox, quand Zdnet note que cette semaine Open SSL n'a touché que 841 dollars de dons -et ce malgré la promotion (malheureuse) dont le projet a bénéficié.

Résultat: un service populaire, plébiscité par des géants comme Yahoo, Google ou Facebook, ainsi que des sites d'Etat, n'a pas les moyens de faire la traque aux éventuels bugs qui pourraient mettre en cause sa fiabilité et donc, la sécurité des services Internet et des internautes même.

Une situation d'autant plus problèmatique que le code derrière Open SSL est ardu, et que les bugs éventuels ne sautent pas aux yeux: il est donc indispensables de mener ce qu'on appelle des audits de sécurité... malheureusement bien trop coûteux.

L'ouverture sur le gril

Cruelle ironie de l'histoire: le caractère ouvert et collaboratif d’Open SSL, qui profite à tout le monde sur Internet, se retrouve désormais sur le gril.

Pire, le développeur qui a introduit le code à l’origine d’Heartbleed (sur son temps libre donc) est suspecté d’être à la solde des agents de la NSA, l’agence qui aurait exploité le bug à en croire un article de Bloomberg. Aucune preuve ne va dans ce sens pour le moment mais le développeur en question a tout de même dû faire son mea culpa dans les medias.

Une double peine donc pour un service et des gens dont dont l’ouverture a quand même arrangé tout le monde...

 

Andréa Fradin 




> Retrouvez toute l'actualité numérique

> Abonnez vous aux podcasts : RSS et iTunes

Crédit photo : logo donné au bug Heartbleed

Commentaires