Heartbleed, l'électrochoc qui secouait l'open source dès 2014

Bonjour à tous et bienvenue dans le ZD Tech, le podcast quotidien de la rédaction de

ZDNet. Je m’appelle Louis Adam et aujourd’hui je vais vous parler de la faille

Heartbleed, et de la façon dont celle-ci a posé à grande échelle la question de la

sécurisation de l’open source.

Alors, Heartbleed, qu’est-ce que c’est ? C’est le nom donné à une faille de sécurité

découverte dans le projet OpenSSL. Et OpenSSL, c’est un logiciel libre fournissant

des outils essentiels dans la mise en place du chiffrement des données sur internet.

Créé en 1998, OpenSSL voit sa popularité grandir à mesure qu’internet se développe

et que les échanges sécurisés prennent de l’importance.

Au début des années 2010, tout le monde ou presque utilise OpenSSL. Le logiciel

permet d’éviter par exemple que votre mot de passe ou vos données bancaires circulent en clair et sans protection sur le réseau.

Mais, en 2014, un grain de sable vient faire dérailler cette belle machine.

Des chercheurs découvrent une faille affectant OpenSSL depuis plus de trois ans.

Identifiée officiellement comme CVE 20140160, elle écope du surnom de

Heartbleed et d’un logo dédié. Un effort de marketing qui vise à attirer l’attention

sur cette faille, jugée très grave par les chercheurs à l’origine de la découverte.

Cette vulnérabilité permet à l’attaquant de récupérer des informations confidentielles

sur les sites et services affectés. Dans la liste des concernés, on retrouve des sites

web, des applications, des systèmes d’exploitation et autres firmwares utilisés par des

équipements réseau.

Ce genre de vulnérabilité, qui affecte un composant très populaire, n’est pas toujours

facile à corriger. En 2019, soit un peu plus de cinq ans après la découverte de la faille, on trouve encore sur internet des systèmes vulnérables à Heartbleed.

L’électrochoc Heartbleed a néanmoins poussé l’écosystème à s’interroger sur les

origines du problème. De nombreux experts et journalistes ont ainsi rappelé que,

malgré son immense popularité, le projet OpenSSL était un petit logiciel libre. En

2014, il ne pouvait compter que sur deux employés à plein temps et un peu moins de

2 000 dollars de dons annuels pour assurer son fonctionnement. Difficile dans ces

conditions d’assurer un code dépourvu de bugs.

Cette prise de conscience a poussé l’industrie du logiciel à réagir. C’est ainsi qu’est

née la Core Infrastructure Initiative, aujourd’hui devenue l’Open Source Security

Foundation. L’objectif de cette structure est d’empêcher l’arrivée du prochain

Heartbleed : elle tente de sécuriser les projets open sources jugés essentiels, en s’appuyant sur les financements fournis par les géants du numérique tels que Google,

Amazon ou Microsoft.

Plus facile à dire qu’à faire : les moyens de ce type d’initiative restent maigres face à la profusion de petits projets qui reposent sur des ressources limitées et le bon vouloir de développeurs bénévoles. Et aujourd’hui, les projets open source peuvent rapidement devenir des briques essentielles pour de nombreux services majeurs.

Et voilà, normalement on a fait le tour du sujet. Pour en savoir plus, rendez-vous sur

ZDNet.fr, et retrouvez tous les jours un nouvel épisode du ZD Tech sur vos

plateformes de podcast préférées.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.