De nombreuses publications généralistes se sont répandues sur la faille de sécurité Heartbleed sans toujours bien vérifier les faits, créant ainsi une forte angoisse chez certains internautes. Suite à un premier article paru lundi 14 avril, Solutions & Logiciels IT fait le point avec Patrick Duboys, un ingénieur spécialiste de la question.
Solutions & Logiciels IT : Présentez-vous en quelques mots. En quoi êtes-vous spécialiste du sujet ?
Patrick Duboys : Ingénieur, j’ai travaillé prendant 13 ans chez Microsoft, puis 4 ans chez Keynectis (renommé aujourd’hui OpenTrust, spécialiste de la sécurisation des identités et des échanges numériques). J’ai créé Alice and Bob – comme les personnages utilisés systématiquement dans les premiers cours de cryptographie – spécialisé dans le même domaine pour aider les entreprises française avec des problématiques de signature électronique, de SSL, d’authentification forte, de chiffrement, de dématérialisation, de signature de code.
La presse a parlé beaucoup de Heartbleed, mais avec de nombreuses inexactitudes. Qu'est-ce que cette faille précisément ?
Heartbleed est une erreur de programmation dans le protocole OpenSSL des versions 1.0.1 à 1.0.1f et 1.0.2-beta1, mais pas les autres versions, ni les autres outils SSL. Cette erreur crée une faille de sécurité potentiellement exploitable par des pirates – il faudrait d’ailleurs mieux dire des voleurs ou des délinquants, le mot pirate ayant une connotation sympathique issue de notre tendre enfance. Ni le protocole SSL/TLS, ni les autres versions d’OpenSSL, ni les autres outils non OpenSSL, ni les autorités de certification ne sont en cause.
Quelles conséquences ?
La conséquence est que tous les sites web protégés par des certificats SSL (serveurs) ou certificats clients créés avec OpenSSL des versions 1.0.1 à 1.0.1f et 1.0.2-beta1 peuvent être potentiellement craqués et les données transitant interceptées. Toutes les données échangées avec des sites web e-commerces utilisant un certificat SSL (cadenas dans le navigateur et https dans la barre d’adresse) peuvent par exemple être capturées comme s’il n’y avait pas de certificat SSL (http et pas de cadenas) et que l’information circulait en clair sur l’Internet. Il faut y mettre des moyens et cibler l’attaque, mais c’est possible.
Existe-il encore des risques pour les internautes ? Comment peuvent-ils, eux, se protéger ?
La presse grand public a créé une psychose. Oui, c’est une faille de sécurité. Et oui, c’est très grave. Mais très peu des sites utilisent OpenSSL dans ces versions. De plus, ce n’est pas parce qu’il y a une faille qu’elle sera nécessairement exploitée. Les informations que vous faites circuler sur l’Internet sont-elles toujours si critiques ? Qui a intérêt à les intercepter ? Pour en faire quoi ? J’en profite pour rappeler que si vous ne chiffrez (encodez) pas vos emails, ils circulent en clair sur l’Internet. Certains sites Internet n’ont parfois pas de certificats SSL sur leurs serveurs. Certains fournisseurs de solutions ou de services de sécurité ou même certains medias jouent sur la peur pour vendre. Ce sont aux fournisseurs de services utilisant des certificats SSL de changer leurs certificats en utilisant la dernière version de OpenSSL et d’informer leurs utilisateurs qu’il serait opportun de changer leur mot de passe au « cas où » (méthode préventive), tout en restant rassurant. Ce n’est pas aux internautes de changer tous leurs mots de passe partout, ni d’arrêter d’utiliser l’Internet ou d’envoyer des emails comme j’ai pu récemment le lire.
Les entreprises en France, et dans le monde, ont-elles pris toutes les mesures nécessaires ?
Pas toujours et pas toujours assez vite. Les grands de l’Internet ont vite réagi. Ils ont changé les certificats et, dans certains cas, demandé aux internautes de changer leurs mots de passe. C’est ce qu’il fallait faire. Certains n’ont pas communiqué assez vite. C’est dommage.
Que doivent-elles faire si ce n'est pas le cas ?
Vérifier si leur site est affecté : voir l’outil http://www.aliceandbob.fr/alice-bob/heartbleed par exemple. Il en existe d’autres. Si le site est affecté, il faut remplacer les certificats. Et le cas échéant, demander aux utilisateurs de remplacer leur mot de passe.
On parle aujourd'hui d'un ralentissement général d'Internet en raison de la nécessité d'obtenir de nouveaux certificats de sécurité par les navigateurs. Pouvez-vous nous expliquer…
Oui, il y a un petit ralentissement au début pendant quelques jours, mais qui restera vraiment mineur. Cela provient du fait que les certificats à risque (qui restent une petite minorité) doivent être par exemple réinstallés dans le magasin des navigateurs. La majorité des sites Internet n’utilisent pas le SSL et n’ont pas utilisé les versions incriminées d’OpenSSL. Donc, là aussi, pas de psychose à avoir.
A votre avis, peut-on s'attendre à d'autres failles aussi importantes et généralisées de ce type ?
La sécurité n’est jamais garantie à 100 %. Oui, il y aura d’autres failles. Les investissements dans ce domaine sont néanmoins gigantesques. Les risques ne viennent en général pas des failles de sécurité, mais de mauvaises pratiques des utilisateurs comme noter leurs mots de passes sur un post-it ou dans un fichier sur un ordinateur ou un smartphone.
