InformatiqueInternetPiratages

Robin Seggelmann, l’homme par qui l’énorme faille Heartbleed est arrivée

Robin Seggelmann se confie et écarte toute théorie du complot…

La faille a fait paniquer tous les experts Web, et l’étendue de ses conséquences ne sera sans doute pas connue avant un moment.

Ce Jeudi, Robin Seggelmann, le programmeur allemand responsable du bug Heartbleed, s’est confié au Sydney Morning Herald.

[quote]Et s’il affirme avoir fait une erreur triviale et malheureuse, il jure qu’elle était involontaire.[/quote]

Seggelmann fait partie des quatre programmeurs européens de la fondation qui gère la technologie open source OpenSSL.

Il explique avoir corrigé des bugs et ajouté de nouvelles fonctions, en 2011, dans l’une d’entre elles, baptisée « heartbeat » (battement de coeur), il a oublié de valider une variable.

Conséquence, avec les bons paramètres, il était possible de faire cracher des informations à un serveur, notamment des mots de passe en clair, et pire, des clés de décryptage ouvrant les portes protégées du site.

[quote]Normalement, dans les processus de codage open source, il y a toujours une personne qui relit un nouveau code écrit par un contributeur, manque de bol, cette erreur de programmation n’a pas non plus été remarquée par l’examinateur en question, un certain Dr Stephen Henson, également spécialiste en sécurité informatique d’origine britannique.

L’erreur de codage est donc restée, pour être implémentée ensuite sur la plupart des serveurs web. [/quote]

C’est un bel exemple de la fameuse loi de Murphy

[quote]Quand un truc peut mal tourner, il va forcément mal tourner.[/quote]

La NSA hors de cause

A l’annonce de la découverte de la faille, lundi, certains yeux se sont tournés vers la NSA.

[quote]Seggelmann jure que l’agence américaine n’a jamais été impliquée dans la conception ou la maintenance d’OpenSSL.

Il n’écarte cependant pas qu’elle ait pu découvrir et exploiter la faille au cours des deux dernières années.[/quote]

Au final, il semble donc qu’il s’agisse bien d’une erreur humaine!

Certains estiment que la situation illustre les limites de la gestion d’un protocole open source utilisé par deux sites Web sur trois, qui ne dispose que d’un budget annuel d’un million de dollars.

D’autres rappellent que la technologie de cryptage RSA, pourtant privée, a été affaiblie par du lobbying de… la NSA.

Voir aussi:
Importante faille dans un logiciel utilisé par la moitié des sites internet

Laisser un commentaire