Le code à l'origine du bug Heartbleed du protocle OpenSSL, l'une des failles de sécurité les plus graves de l'histoire d'Internet, a été écrit par un développeur allemand. Robin Seggelman, la trentaine, expert en sécurité informatique résidant à Münster, a contribué en 2011 à l'élaboration d'OpenSSL pendant son temps libre.
Depuis que son nom circule sur la toile, les commentaires mettant en doute son intégrité et les théories selon lesquelles il serait à la solde de la NSA - qui aurait, selon le magazine Wired, utilisé le trou pour siphonner des milliers de mot de passe- se sont multipliés. Le hacker et blogueur berlinois Felix von Leitner écrit par exemple sur son blog à propos du bug:
«De mon point de vue, ça sent comme une backdoor, ça a le goût d'une backdoor, ça a la consistance d'une backdoor, et ça a aussi l'air d'une backdoor.»
Après avoir d'abord gardé le silence, Robin Seggelmann a donné une interview au quotidien australien Sydney Morning Herald et envoyé un e-mail à la rédaction online de Der Spiegel, dans lequel il se défend d'avoir agi délibérément, expliquant avoir tout simplement commis une erreur d'inattention:
«J'ai participé à l'élaboration d'OpenSSL et j'ai déposé une série de bugfixes et de nouvelles features. Dans un patch pour une nouvelle feature, j'ai manifestement oublié de procéder à une vérification.»
L'erreur est également passée inaperçue aux yeux du développeur américain Stephen Henson, chargé de relire le code écrit par Seggelmann, qu'il a validé le 1er janvier 2012. Comme l'explique pour sa défense le développeur allemand au quotidien Die Welt, ce genre d'erreurs se produit particulièrement dans les projets open source, à cause du manque de participants:
«Plus il y a de gens qui relisent le code, mieux c'est. Malheureusement, il y a bien trop peu de gens, que ce soit de manière privée ou professionnelle, qui participent à l'amélioration d'OpenSSL.»
L'exploitation de la faille permet de collecter des informations potentiellement sensibles: mots de passe, identifiants, voire numéros de carte bancaire, sur les serveurs affectés et est donc à ce titre prise très au sérieux par les experts du réseau.
Annabelle Georgen Journaliste
