Emma Defaud, publié le
Alors que le bug nommé HeartBleed a été rendu publique il y a quelques jours, de nouvelles informations ne cessent d'être publiées à son sujet.
Logo de Heartbleed, le nom de la faille de sécurité de OpenSSL.
Comment la faille de sécurité Heartbleed a-t-elle pu restée non détectée pendant plus de deux ans? Alors que cette vunérabilité du logiciel de cryptage OpenSSL, utilisé par 66% des sites actifs au monde, a été rendue publique en début de semaine, les révélations se multiplient à son sujet dans la presse anglo-saxonne spécialisée.
1. La NSA utilisait cette faille
Bon, peut-être que cela ne vous surprendra pas vraiment. Mais, si nous n'avons appris l'existence de cette faille de sécurité que le 7 avril, l'agence d'espionnage américain NSA, dénoncée par Edward Snowden pour son espionnage massif, avait détecté ce petit problème en amont. Deux sources anonymes proches de l'agence tant contestée reconnaissent aujourd'hui avoir exploité Heart Bleed depuis deux ans. La NSA aurait décidé de garder le bug secret pour protéger des intérêts nationaux, assure Bloomberg.
2. Il n'y a jamais eu d'audit de sécurité
La vulnérabilité est née quelques heures avant le coup de minuit du nouvel An 2012. Un ingénieur allemand chargé de réparé un bug a expédié son bout de code un peu rapidement ce soir-là et aucune vérification n'a été faite par la suite. "Dans l'une des nouvelles fonctionnalités, malheureusement, j'ai raté la validation d'une variable contenant une longueur", a-t-il commenté pudiquement au Sydney Morning Herald.
3. OpenSSL n'est géré que par quatre programmeurs
Une équipe réduite de quatre développeurs seulement s'occupent du programme et un seul y travaille à temps complet, rapporte le Wall Street Journal. Le programme, gratuit et en open source, date des années 1990 et la Fondation OpenSSL Software, qui sollicite des dons pour l'équipe qui travaille sur ce code a tourné en 2013 avec un budget annuel de moins d'1 million.
Aucun commentaire:
Enregistrer un commentaire