C'est dans l'actuMonde

Heartbleed: le développeur fait son mea culpa

Annabelle Georgen, mis à jour le 13.04.2014 à 15 h 44

Capture d'écran du site Heartbleed.com

Capture d'écran du site Heartbleed.com

Le code à l'origine du bug Heartbleed du protocle OpenSSL, l'une des failles de sécurité les plus graves de l'histoire d'Internet, a été écrit par un développeur allemand. Robin Seggelman, la trentaine, expert en sécurité informatique résidant à Münster, a contribué en 2011 à l'élaboration d'OpenSSL pendant son temps libre.

Depuis que son nom circule sur la toile, les commentaires mettant en doute son intégrité et les théories selon lesquelles il serait à la solde de la NSA - qui aurait, selon le magazine Wired, utilisé le trou pour siphonner des milliers de mot de passe-  se sont multipliés. Le hacker et blogueur berlinois Felix von Leitner écrit par exemple sur son blog à propos du bug:

«De mon point de vue, ça sent comme une backdoor, ça a le goût d'une backdoor, ça a la consistance d'une backdoor, et ça a aussi l'air d'une backdoor.»

Après avoir d'abord gardé le silence, Robin Seggelmann a donné une interview au quotidien australien Sydney Morning Herald et envoyé un e-mail à la rédaction online de Der Spiegel, dans lequel il se défend d'avoir agi délibérément, expliquant avoir tout simplement commis une erreur d'inattention:

«J'ai participé à l'élaboration d'OpenSSL et j'ai déposé une série de bugfixes et de nouvelles features. Dans un patch pour une nouvelle feature, j'ai manifestement oublié de procéder à une vérification.»

L'erreur est également passée inaperçue aux yeux du développeur américain Stephen Henson, chargé de relire le code écrit par Seggelmann, qu'il a validé le 1er janvier 2012. Comme l'explique pour sa défense le développeur allemand au quotidien Die Welt, ce genre d'erreurs se produit particulièrement dans les projets open source, à cause du manque de participants:

«Plus il y a de gens qui relisent le code, mieux c'est. Malheureusement, il y a bien trop peu de gens, que ce soit de manière privée ou professionnelle, qui participent à l'amélioration d'OpenSSL.»

L'exploitation de la faille permet de collecter des informations potentiellement sensibles: mots de passe, identifiants, voire numéros de carte bancaire, sur les serveurs affectés et est donc à ce titre prise très au sérieux par les experts du réseau.

Annabelle Georgen
Annabelle Georgen (343 articles)
Journaliste
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites, vous proposer des publicités adaptées à vos centres d’intérêt et nous suivre sur les réseaux sociaux. > Paramétrer > J'accepte