Heartbleed: trahi par le code source

Le texte suivant est extrait d’un billet rédigé par Martin Lessard (publié le 25 mai 2014 sur son blogue Zéro Seconde). Pour visualiser l’article complet, cliquez sur le lien suivant : Article complet.

heartbleed

Heartbleed, par son ampleur et sa gravité, touche le coeur d’Internet. Ce bug a provoqué la même onde de choc que les révélations de Snowden en démontrant la fragilité de la société numérique dans laquelle nous sommes de plain pied.

Pour mémoire, Heartbleed est cette faille, révélée en début avril, dans le code d’un logiciel libre (OpenSSL). Elle se trouvait sur une très grande quantité de serveurs web. Elle rendait vulnérable toute connexion considérée comme sécuritaire.

Si la surveillance massive exposée par Snowden s’apparente à « avoir un agent de la Stasi sur tous nos ordinateurs », la brèche Heartbleed peut se comparer à un ancien cadenas Kryptonite que l’on peut ouvrir avec un crayon Bic.

On frémit. La vulnérabilité d’Heartbleed est telle que toute personne qui l’aurait remarqué avant les autres aurait eu des pouvoirs quasi divins depuis 2 ans sur une grande partie d’Internet. Et aucun moyen de le détecter. Aucun.

Une grande partie d’Internet dite sécurisée (via des protocoles de sécurisation des échanges) avait les portes déverrouillées depuis deux ans! C’est comme si les fenêtres arrières de votre commerce étaient restées ouvertes tout l’été.

Heartblead sonne pour moi le réveil brutal de notre entrée dans l’envers du décor numérique.

Une faille internet est une faille pour tous. On faisait confiance à la vérification des pairs (modèle du logiciel libre) et, comme toute entreprise humaine, elle a ses failles. Le logiciel propriétaire ne ferait pas mieux, mais le logiciel libre portait une part d’utopie (collaboration, transparence, intelligence collective) et vient de vivre un sérieux « reality check« .

Tenez, pas plus tard qu’avant-hier, on apprenait qu’Android possédait une vulnérabilité permettant à un développeur d’une application de capter des photos et vidéos à votre insu, puis de les transmettre au serveur de son choix. Je ne sais pas pour vous, mais c’est le genre de chose qui me donne froid dans le dos.

Publicités
Cette entrée a été publiée dans Cyberattaques. Mettre ce permalien en signet.

Laisser un commentaire

Entrer les renseignements ci-dessous ou cliquer sur une icône pour ouvrir une session :

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s