Bonjour à tous et bienvenue dans le ZD Tech, le podcast quotidien de la rédaction de ZDNet. Je m’appelle Louis Adam et aujourd’hui je vais vous parler de la faille Heartbleed, et de la façon dont celle-ci a posé à grande échelle la question de la sécurisation de l’open source.
Heartbleed, qu’est-ce que c’est ?
C’est le nom donné à une faille de sécurité découverte dans le projet OpenSSL. Et OpenSSL, c’est un logiciel libre fournissant des outils essentiels dans la mise en place du chiffrement des données sur internet. Créé en 1998, OpenSSL voit sa popularité grandir à mesure qu’internet se développe et que les échanges sécurisés prennent de l’importance.
Au début des années 2010, tout le monde ou presque utilise OpenSSL. Le logiciel permet d’éviter par exemple que votre mot de passe ou vos données bancaires circulent en clair et sans protection sur le réseau.
Mais, en 2014, un grain de sable vient faire dérailler cette belle machine. Des chercheurs découvrent une faille affectant OpenSSL depuis plus de trois ans.
Une faille difficile à corriger
Identifiée officiellement comme CVE 20140160, elle écope du surnom de Heartbleed et d’un logo dédié. Un effort de marketing qui vise à attirer l’attention sur cette faille, jugée très grave par les chercheurs à l’origine de la découverte.
Cette vulnérabilité permet à l’attaquant de récupérer des informations confidentielles sur les sites et services affectés. Dans la liste des concernés, on retrouve des sites web, des applications, des systèmes d’exploitation et autres firmwares utilisés par des équipements réseau.
Ce genre de vulnérabilité, qui affecte un composant très populaire, n’est pas toujours facile à corriger. En 2019, soit un peu plus de cinq ans après la découverte de la faille, on trouve encore sur internet des systèmes vulnérables à Heartbleed.
Un électrochoc qui a servi de leçon ?
L’électrochoc Heartbleed a néanmoins poussé l’écosystème à s’interroger sur les origines du problème. De nombreux experts et journalistes ont ainsi rappelé que, malgré son immense popularité, le projet OpenSSL était un petit logiciel libre. En 2014, il ne pouvait compter que sur deux employés à plein temps et un peu moins de 2 000 dollars de dons annuels pour assurer son fonctionnement. Difficile dans ces conditions d’assurer un code dépourvu de bugs.
Cette prise de conscience a poussé l’industrie du logiciel à réagir. C’est ainsi qu’est née la Core Infrastructure Initiative, aujourd’hui devenue l’Open Source Security Foundation. L’objectif de cette structure est d’empêcher l’arrivée du prochain Heartbleed : elle tente de sécuriser les projets open sources jugés essentiels, en s’appuyant sur les financements fournis par les géants du numérique tels que Google, Amazon ou Microsoft.
Plus facile à dire qu’à faire : les moyens de ce type d’initiative restent maigres face à la profusion de petits projets qui reposent sur des ressources limitées et le bon vouloir de développeurs bénévoles. Et aujourd’hui, les projets open source peuvent rapidement devenir des briques essentielles pour de nombreux services majeurs.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));