Monde

Heartbleed: le développeur fait son mea culpa

Temps de lecture : 2 min

Capture d'écran du site Heartbleed.com
Capture d'écran du site Heartbleed.com

Le code à l'origine du bug Heartbleed du protocle OpenSSL, l'une des failles de sécurité les plus graves de l'histoire d'Internet, a été écrit par un développeur allemand. Robin Seggelman, la trentaine, expert en sécurité informatique résidant à Münster, a contribué en 2011 à l'élaboration d'OpenSSL pendant son temps libre.

Depuis que son nom circule sur la toile, les commentaires mettant en doute son intégrité et les théories selon lesquelles il serait à la solde de la NSA - qui aurait, selon le magazine Wired, utilisé le trou pour siphonner des milliers de mot de passe- se sont multipliés. Le hacker et blogueur berlinois Felix von Leitner écrit par exemple sur son blog à propos du bug:

«De mon point de vue, ça sent comme une backdoor, ça a le goût d'une backdoor, ça a la consistance d'une backdoor, et ça a aussi l'air d'une backdoor.»

Après avoir d'abord gardé le silence, Robin Seggelmann a donné une interview au quotidien australien Sydney Morning Herald et envoyé un e-mail à la rédaction online de Der Spiegel, dans lequel il se défend d'avoir agi délibérément, expliquant avoir tout simplement commis une erreur d'inattention:

«J'ai participé à l'élaboration d'OpenSSL et j'ai déposé une série de bugfixes et de nouvelles features. Dans un patch pour une nouvelle feature, j'ai manifestement oublié de procéder à une vérification.»

L'erreur est également passée inaperçue aux yeux du développeur américain Stephen Henson, chargé de relire le code écrit par Seggelmann, qu'il a validé le 1er janvier 2012. Comme l'explique pour sa défense le développeur allemand au quotidien Die Welt, ce genre d'erreurs se produit particulièrement dans les projets open source, à cause du manque de participants:

«Plus il y a de gens qui relisent le code, mieux c'est. Malheureusement, il y a bien trop peu de gens, que ce soit de manière privée ou professionnelle, qui participent à l'amélioration d'OpenSSL.»

Inscrivez-vous à la newsletter de SlateInscrivez-vous à la newsletter de Slate

L'exploitation de la faille permet de collecter des informations potentiellement sensibles: mots de passe, identifiants, voire numéros de carte bancaire, sur les serveurs affectés et est donc à ce titre prise très au sérieux par les experts du réseau.

Newsletters

Fermer les frontières ne stoppera pas la propagation du variant Omicron

Fermer les frontières ne stoppera pas la propagation du variant Omicron

Étant donné que ce nouveau variant s'est déjà propagé au-delà de l'Afrique australe, l'interdiction des voyageurs en provenance de cette zone ne fera que ralentir sa circulation.

Wagnergate: l'incroyable piège tendu aux mercenaires russes par l'Ukraine

Wagnergate: l'incroyable piège tendu aux mercenaires russes par l'Ukraine

Au cœur de ce sac de nœuds, la création d'une agence de recrutement bidon et une fausse alerte à la bombe.

Comment définit-on les frontières maritimes d'une nation?

Comment définit-on les frontières maritimes d'une nation?

[L'Explication #36] Et pourquoi c'est autant le bazar autour des côtes britanniques.

Podcasts Grands Formats Séries
Slate Studio