Coeur Saignant

HeartBleed

C’est sans doute la plus grande faille de sécurité découverte récemment. Pour être caricatural, cette faille met en danger toute connexion sécurisée avec un serveur utilisant OpenSSL (qui est une implémentation de SSL extrêmement populaire). En gros, n’importe quel hacker peut récupérer des informations de personnes se connectant sur un serveur, même si ces informations sont cryptées. Comme d’habitude, XKCD fait un excellent travail pédagogique :

XKCD 1354

Un air de déjà-vu

Cela rappelle à la faille de sécurité concernant l’implémentation de SSL dans les produits Apple. De près, on peut croire à une erreur ou un oubli. Mais à la réflexion, cela ressemble à une erreur implémentée très difficile à retrouver, car ressemblant à une erreur d’implémentation classique (pour Heartbleed : oubli du test de longueur de chaine de caractère, pour le goto fail : double copier/coller ou une erreur de fusion de gestion de version).

NSA mon amour

C’est là que l’on devient paranoïaque. Les documents fournis par Snowden indiquent que la NSA a introduit des backdoors dans les systèmes de cryptage. La NSA travaille depuis des années pour rendre les systèmes de cryptage sur Internet les moins sécurisé possibles, et cela afin de pouvoir espionner tout le monde. Il est donc assez logique de penser que les erreurs trouvées dans le goto fail et Heartbleed ont été inséré par la NSA. D’autant plus que la NSA utiliserait la faille Heartbleed depuis un certain temps déjà.

Open source

Ces failles de sécurité viennent toutes les deux de technologie open source. Du coup, certains parlent de la chute de l’open source, moi je parlerais plutôt de la victoire. C’est parce que ces codes étaient publiques qu’on a pu vérifier et modifier les erreurs. Pour un code propriétaire, il est impossible de vérifier la sécurité du code. Qui nous dit qu’une entreprise privée n’ouvre pas les fichiers personnels de ses clients aux gouvernements ? Avec le close source, impossible de vérifier. Ces failles ne font que soutenir l’état d’esprit depuis les révélations de Snowden : il est indispensable que tout le monde travaille pour fournir des outils de communication indépendants et sécurisés.