Révélée au début du mois, la faille Heartbleed dans le logiciel OpenSSL a causé un rare vent de panique sur le web. Il faut dire que cette vulnérabilité nuit à un élément central du réseau : la protection des échanges entre le navigateur de l'utilisateur et les différents services en ligne auxquels ce dernier accède : sa banque, sa messagerie électronique, son site de e-commerce, son réseau social préféré.
Selon des estimations publiées dans les heures qui ont suivi la découverte de Heartbleed, près de 17 % des serveurs (environ un demi-million) étaient concernés par cette brèche. Exploitée par une personne mal intentionnée (au moins une personne a d'ores et déjà été arrêtée), elle permet par exemple de lire une partie de la mémoire du serveur ou du client pour récupérer des informations confidentielles.
Aujourd'hui, la situation tend à s'améliorer. Suite à la médiatisation de Heartbleed, nombreux sont les services à avoir procédé à la mise à jour de la bibliothèque de cryptographie OpenSSL. Des conseils ont ensuite été fournis par certaines autorités, comme le centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques et la commission nationale de l'informatique et des libertés.
L'argent fait défaut
Mais s'il a été dévoilé début avril, le bug Heartbleed est en réalité présent dans OpenSSL depuis 2012. Il s'est donc écoulé pas moins de deux ans entre le moment où la faille a été introduite par erreur dans le code source et l'instant de sa découverte. Pourquoi un tel délai ? La réponse est hélas d'une banalité sans nom : parce que le développement d'OpenSSL est assuré par une poignée de développeurs bénévoles.
Certes, il est possible de soutenir le développement de la bibliothèque de cryptographie. Il existe une page de dons (d'ailleurs, celle-ci accepte depuis peu les versements en Bitcoins via Coinbase), mais les soutiens sont rares. Sur une année classique, les dons ne dépassent généralement pas le seuil des 2000 dollars. Et une semaine après la découverte de Heartbleed, "seuls" 841 dollars ont été reçus.
Certes, la fondation OpenSSL a aussi tissé des contrats commerciaux. Mais en cinq ans, cela n'a jamais dépassé le million de dollars. Or cela est un peu court pour payer les développeurs impliqués dans OpenSSL, selon Steve Marquess, le créateur de la fondation pour le logiciel OpenSSL, lors d'un entretien accordé au New York Times.
C'est là tout le paradoxe d'OpenSSL. L'outil est massivement utilisé sur le web, notamment par les géants de l'industrie des services en ligne pour fournir une protection à leurs utilisateurs, mais ces plateformes le lui rendent bien mal. Alors que certaines firmes génèrent des milliards de dollars chaque année, pratiquement aucun soutien financier n'est prévu pour soutenir l'amélioration d'OpenSSL.
Les géants du net se mobilisent enfin
Les choses sont toutefois en train de changer. Selon un message publié sur le site de la fondation Linux, l'affaire Heartbleed a visiblement eu l'effet d'un électrochoc puisque plusieurs géants du net font mettre la main à la poche pour soutenir le développement (on parle de plusieurs millions de dollars) des "éléments critiques de l'infrastructure mondiale de l'information", ce qui inclut OpenSSL.
"Cette 'initiative permet aux entreprises de l'industrie high tech d'identifier et de financer ensemble des projets open source qui sont dans le besoin, tout en permettant aux développeurs de continuer à travailler dans les conditions qui ont fait le succès de l'open source", indique le communiqué, qui précise que "le premier projet à l'étude pour recevoir des fonds de l'Initiative sera OpenSSL".
Quelles sont les entreprises qui participeront à ce programme ? La fondation cite Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Microsoft, NetApp, Intel, Qualcomm, Rackspace et VMware. Les fonds serviront évidemment à payer les développeurs clés d'OpenSSL, mais aussi à financer d'autres initiatives, incluant la collecte "d'avis extérieurs" (audits ?) et l'amélioration de la réactivité des équipes lorsqu'un patch est nécessaire.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !