C'est dans l'actu / Monde

Heartbleed: le développeur fait son mea culpa

Temps de lecture : 2 min

Capture d'écran du site Heartbleed.com
Capture d'écran du site Heartbleed.com

Le code à l'origine du bug Heartbleed du protocle OpenSSL, l'une des failles de sécurité les plus graves de l'histoire d'Internet, a été écrit par un développeur allemand. Robin Seggelman, la trentaine, expert en sécurité informatique résidant à Münster, a contribué en 2011 à l'élaboration d'OpenSSL pendant son temps libre.

Depuis que son nom circule sur la toile, les commentaires mettant en doute son intégrité et les théories selon lesquelles il serait à la solde de la NSA - qui aurait, selon le magazine Wired, utilisé le trou pour siphonner des milliers de mot de passe- se sont multipliés. Le hacker et blogueur berlinois Felix von Leitner écrit par exemple sur son blog à propos du bug:

«De mon point de vue, ça sent comme une backdoor, ça a le goût d'une backdoor, ça a la consistance d'une backdoor, et ça a aussi l'air d'une backdoor.»

Après avoir d'abord gardé le silence, Robin Seggelmann a donné une interview au quotidien australien Sydney Morning Herald et envoyé un e-mail à la rédaction online de Der Spiegel, dans lequel il se défend d'avoir agi délibérément, expliquant avoir tout simplement commis une erreur d'inattention:

«J'ai participé à l'élaboration d'OpenSSL et j'ai déposé une série de bugfixes et de nouvelles features. Dans un patch pour une nouvelle feature, j'ai manifestement oublié de procéder à une vérification.»

L'erreur est également passée inaperçue aux yeux du développeur américain Stephen Henson, chargé de relire le code écrit par Seggelmann, qu'il a validé le 1er janvier 2012. Comme l'explique pour sa défense le développeur allemand au quotidien Die Welt, ce genre d'erreurs se produit particulièrement dans les projets open source, à cause du manque de participants:

«Plus il y a de gens qui relisent le code, mieux c'est. Malheureusement, il y a bien trop peu de gens, que ce soit de manière privée ou professionnelle, qui participent à l'amélioration d'OpenSSL.»

L'exploitation de la faille permet de collecter des informations potentiellement sensibles: mots de passe, identifiants, voire numéros de carte bancaire, sur les serveurs affectés et est donc à ce titre prise très au sérieux par les experts du réseau.

Annabelle Georgen Journaliste

Newsletters

«Chère Agnès Buzyn, contre le fléau du tabagisme, encore un effort!»

«Chère Agnès Buzyn, contre le fléau du tabagisme, encore un effort!»

Ministre des Solidarités et de la Santé, vous venez, enfin, d’annoncer la gratuité des médicaments du sevrage tabagique. Merci. Il vous reste encore à sortir de votre déni des vertus de la cigarette électronique. Des dizaines de milliers de vies sont en jeu.

Il y a 300 pétitions en faveur de Snowden sur Change.org, pas sûr que la dernière change la donne

Il y a 300 pétitions en faveur de Snowden sur Change.org, pas sûr que la dernière change la donne

...

Que sont devenus les animateurs du Printemps de Pékin?

Que sont devenus les animateurs du Printemps de Pékin?

Le responsable du syndicat étudiant de l’Université de Pékin est devenu «un banquier milliardaire».

Newsletters