Le monde de l’IT tremble suite à la découverte de la faille HeartBleed sous OpenSSL. Différentes déclarations et réactions ont vu le jour récemment. Tour d’horizon :
Des conspirationnistes accusent l’auteur du bug de l’avoir introduit de manière délibérée
Le développeur logiciel allemand Robin Seggelmann, qui est l’auteur du bug HeartBleed, s’est vite retrouvé sous les feux des projecteurs. En effet, plusieurs théories du complot ont circulé récemment, l’accusant d’avoir introduit délibérément le bug.
De son côté, l’allemand explique simplement que le bug était présent dans la branche de développement, puis il est passé outre les mailles du système de validation, c’est pour cela qu’il est présent dans la version publiée.
En outre, il reconnait que ce petit bug a un impact important sur la sécurité d’OpenSSL. Toutefois, pour lui, les théories du complot visant sa personne n’ont pas lieu d’être. « Ce n’était pas délibéré, de plus j’ai corrigé plusieurs bugs sous OpenSSL par le passé, je ne tentais donc que de contribuer au projet », se justifie Seggelmann.
Enfin, il estime que ce bug a peut-être été utilisé par des agences gouvernementales, car face à ce genre de situation, il faut envisager le pire des scénarios. Il appelle donc à plus de vigilance et surtout à plus de contributions au projet open source pour détecter préalablement des bugs.
Les serveurs sont les seuls à être affectés ? Oh que non !
Alors que les professionnels de l’IT s’agitent et évoquent l’impact de ce bug sur les serveurs, il est important de ne pas oublier qu'il affecte également les utilisateurs sur leurs différents appareils (smartphones, PC, ordinateurs portables, routeurs domestiques, etc.). Ainsi, des attaquants peuvent facilement récupérer des informations sensibles à partir de ces appareils, telles que mots de passe et informations bancaires.
Un expert en sécurité déplore cette situation et surtout le manque de communication des équipementiers avec leurs clients qui sont exposés, ce qui n’est pas le cas de Google. Le géant de Mountain View a fixé CloudSQL et prépare une mise à jour de Google Search Appliance. Seul Android 4.1.1 serait exposé du côté de l’OS mobile.
L’horreur et la paranoïa s’emparent des experts en sécurité, au moment où un script pour Metasploit est publié
Pour beaucoup de spécialistes, cette faille est l’une des pires qu’a connues le monde IT. L’expert en sécurité Bruce Schneier estime que « sur une échelle de 1 à 10, la faille se situe à 11 ».
D’ailleurs, certains d’entre eux recommandent de se déconnecter temporairement du réseau Internet, craignant d’éventuelles attaques exploitant la faille, comme celles basées sur le script ruby qui s’exécute sous Metasploit.
Autre argument qui peut expliquer cette paranoïa : le bug affecte pas moins de 500.000 serveurs, soit 17,5 % des sites web de confiance, de quoi laisser du pain sur la planche jusqu’en 2020 pour les tests de pénétration en sécurité.
Enfin, un outil a été mis à la disposition des utilisateurs pour vérifier si leurs services préférés en ligne sont touchés.
Sources : The Sydney Morning Herald , Google Online Security , Netcraft.com
Et vous ?
Qu’en pensez-vous ?
HeartBleed, l'une des pires failles de sécurité d'Internet ?
Entre théorie du complot, paranoïa et angoisse, le monde de l'IT tremble
HeartBleed, l'une des pires failles de sécurité d'Internet ?
Entre théorie du complot, paranoïa et angoisse, le monde de l'IT tremble
Le , par Arsene Newman
Une erreur dans cette actualité ? Signalez-nous-la !