Monde

Heartbleed: le développeur fait son mea culpa

Temps de lecture : 2 min

Capture d'écran du site Heartbleed.com
Capture d'écran du site Heartbleed.com

Le code à l'origine du bug Heartbleed du protocle OpenSSL, l'une des failles de sécurité les plus graves de l'histoire d'Internet, a été écrit par un développeur allemand. Robin Seggelman, la trentaine, expert en sécurité informatique résidant à Münster, a contribué en 2011 à l'élaboration d'OpenSSL pendant son temps libre.

Depuis que son nom circule sur la toile, les commentaires mettant en doute son intégrité et les théories selon lesquelles il serait à la solde de la NSA - qui aurait, selon le magazine Wired, utilisé le trou pour siphonner des milliers de mot de passe- se sont multipliés. Le hacker et blogueur berlinois Felix von Leitner écrit par exemple sur son blog à propos du bug:

«De mon point de vue, ça sent comme une backdoor, ça a le goût d'une backdoor, ça a la consistance d'une backdoor, et ça a aussi l'air d'une backdoor.»

Après avoir d'abord gardé le silence, Robin Seggelmann a donné une interview au quotidien australien Sydney Morning Herald et envoyé un e-mail à la rédaction online de Der Spiegel, dans lequel il se défend d'avoir agi délibérément, expliquant avoir tout simplement commis une erreur d'inattention:

«J'ai participé à l'élaboration d'OpenSSL et j'ai déposé une série de bugfixes et de nouvelles features. Dans un patch pour une nouvelle feature, j'ai manifestement oublié de procéder à une vérification.»

L'erreur est également passée inaperçue aux yeux du développeur américain Stephen Henson, chargé de relire le code écrit par Seggelmann, qu'il a validé le 1er janvier 2012. Comme l'explique pour sa défense le développeur allemand au quotidien Die Welt, ce genre d'erreurs se produit particulièrement dans les projets open source, à cause du manque de participants:

«Plus il y a de gens qui relisent le code, mieux c'est. Malheureusement, il y a bien trop peu de gens, que ce soit de manière privée ou professionnelle, qui participent à l'amélioration d'OpenSSL.»

Inscrivez-vous à la newsletter de SlateInscrivez-vous à la newsletter de Slate

L'exploitation de la faille permet de collecter des informations potentiellement sensibles: mots de passe, identifiants, voire numéros de carte bancaire, sur les serveurs affectés et est donc à ce titre prise très au sérieux par les experts du réseau.

Newsletters

Pandémie forestière: l'espoir renaît dans les forêts tchèques

Pandémie forestière: l'espoir renaît dans les forêts tchèques

Les journalistes afghans se masquent en solidarité avec leurs consœurs

Les journalistes afghans se masquent en solidarité avec leurs consœurs

Les talibans exigent désormais que les journalistes femmes se dissimulent le visage.

«La fin du soviétisme, le début des problèmes»: en Moldavie, les Roms sont pro-Poutine

«La fin du soviétisme, le début des problèmes»: en Moldavie, les Roms sont pro-Poutine

La population rom est victime de la guerre en Ukraine comme aucune autre. Pour elle, l'ennemi est partout et le refuge nulle part.

Podcasts Grands Formats Séries
Slate Studio