Heartbleed – Faille de la décennie
Titre : Heartbleed, faille de la décennie ?
Intervenants : Jean- Marc Manach - Éric Leblond - Daniel Schneidermann
Lieu : Émission 14h42
Date : Avril 2014
Durée : 43 min
Lienvers la vidéo
00' transcrit MO
Daniel Schneidermann : Bonjour et bienvenue dans ce douzième numéro de 14h42. La sécurité de nos achats en ligne, la confidentialité de nos mots de passe, et donc, de toutes nos données, sont-elles menacées, en plus de toutes les autres menaces évidemment par ce qu'on appelle la faille Heartbleed. Depuis quelques semaines les articles se multiplient dans la presse en ligne, confus, parfois contradictoires, nous laissant dans l’incertitude sur le point de savoir, s'il faut, ou non, changer tous nos mots de passe. Pour une fois Jean-Marc Manach a changé de casquette et a troqué sa casquette d'animateur contre sa merveilleuse casquette d'expert. Mais, il faudrait en avoir deux, pour de bon, la prochaine fois pour répondre à toutes les question qu’on peut se poser sur Heartbleed. Également avec nous Éric Leblond. Vous êtes spécialiste en sécurité du Logiciel Libre et par ailleurs vous avez créé une société dans laquelle vous vendez des prestations de sécurité aux gens et aux sites et aux entreprises qui utilisent le Logiciel Libre, donc votre avis nous sera particulièrement précieux. Comme il s'agit de parler à tous ceux qui n'ont rien compris, voire pas lu un seul des articles consacrés à Heartbleed, on va essayer de poser, tout au long de cette émission, des questions vraiment basiques, c'est pour ça qu'on a pris, dans l'équipe, le moins spécialiste imaginable de toutes ces questions et je commence donc par une question extrêmement large, Jean-Marc, Heartbleed, la faille Heartbleed c'est quoi ? Comment est configurée cette faille ?
Jean-Marc Manach : En fait, c'est une faille dans un logiciel qui s'appelle OpenSSL, qui est un logiciel qui est utilisé par plusieurs centaines de milliers de serveurs, et qui permet de sécuriser une communication entre votre navigateur et un serveur distant. Et cette faille, en fait, repose sur une extension du logiciel OpenSSL, qui s'appelle Heartbeat, donc le cœur qui bat, d'où le nom qui a été trouvé Heartbleed, le cœur qui saigne, et qui permettait de communiquer, de garder une communication active entre le client et le serveur, entre un ordinateur et le serveur distant.
Daniel Schneidermann : À l'intérieur du logiciel de sécurisation ?
Jean-Marc Manach : Au moment où il y avait une connexion qui se faisait pour confirmer que la sécurité était bien enclenchée entre les deux ordinateurs, en fait, il y a une faille qui existe et qui fait que, normalement l’ordinateur dit « dis-moi un mot de quatre lignes » et le serveur envoyait quatre lignes. Sauf que la faille, là, permettait à un attaquant de dire « renvoie-moi soixante-quatre kilos de données », et le serveur renvoyait, soixante-quatre kilos, alors c'est kilo-octet, ce n'est pas des kilos, mais soixante-quatre kilo-octets de données ce qui transitait sur le serveur.
Daniel Schneidermann : Trop bête le serveur !
Jean-Marc Manach : Dans ces données il peut y avoir des mots de passe, il peut y avoir des clefs de sécurité, il peut y avoir des cookies de session. C'est un petit fichier qui permet de vous identifier auprès du site que vous visitez, et donc, par extension, on peut récupérer des données qui, normalement, n'auraient jamais dues pouvoir être consultées par un tiers.
Daniel Schneidermann : Ce que vous expliquez là a été expliqué magistralement par un dessinateur américain, auteur dans une petite BD en ligne.
Jean-Marc Manach : XKCD.
Daniel Schneidermann : XKCD c'est le nom de son blog. Voilà.
Jean-Marc Manach : Là il explique : « je te dis patate six lettres » et l'ordinateur, le serveur répond « patate six lettres » et puis ensuite « bird quatre lettres », il renvoie « bird quatre lettres ».
Daniel Schneidermann : Jusque là ça marche bien.
Jean-Marc Manach : Jusque là ça marche bien, sauf là il dit « renvoie-moi chapeau cinq cents lettres » et là le serveur renvoie chapeau plus cinq cents lettres. Et donc, c'est là où dans ces cinq cents lettres, on peut trouver des données qui, normalement, ne devraient jamais sortir de cette conversation sécurisée entre un client et un serveur.
Daniel Schneidermann : D'accord. Donc si vous voulez tout savoir sur XKCD, Randall Munroe, lire le portrait qu'on vient de publier sur le site. Éric Leblond, évidemment Jean-Marc Manach parle sous votre contrôle, puisque j'ai dit que vous êtes spécialiste.
Jean-Marc Manach : Est-ce que j'ai dit des choses, qui ne sont pas tout à fait exactes ?
Daniel Schneidermann : Dans cette émission, quand on a un expert, on a un contre-expert. Pour l'instant ça va ? Il n'a pas trop dit de bêtises ?
Éric Leblond : Non, non, jusque là c'est parfait.
Daniel Schneidermann : C'est exactement ça. Cette faille, elle existe depuis combien de temps ?
Jean-Marc Manach : En fait, ce qu'on a découvert, c'est donc un chercheur allemand qui, il y a deux ans, a rajouté quelques lignes de code dans l'OpenSSL. C'est un logiciel libre, donc ça veut dire que tout un chacun, plein de développeurs contribuent au développement de ce logiciel, et donc, il y a deux ans, il a rajouté une fonctionnalité dans le logiciel et, en fait, c'est là où est apparue la faille. C'est-à-dire qu'il a fait une erreur, une erreur triviale, mais personne ne l'a détectée. C'est-à-dire qu'à l’époque les responsables du logiciel OpenSSL n'ont pas repéré cette faille de sécurité, personne n'avait repéré, jusqu’à fin mars, je crois, où fin mars il y a eu une première équipe.
Éric Leblond : Le 21 mars il y a quelqu’un chez Google qui a trouvé, de son côté, la faille, il a fallu faire une étude du code. Quand on lit le code attentivement, la faille est assez facile à trouver, quand on sait ce qu'on cherche.
Jean-Marc Manach : C'est trois cent mille lignes de code, quand même, en gros le logiciel.
Éric Leblond : Ils ont regardé, à mon avis, l'implémentation pour voir ce qui se passait.
Daniel Schneidermann : Implémentation ?
Éric Leblond : Implémentation, c'est-à-dire la manière dont le fonctionnement du protocole était décrit en termes de code pour ordinateur.
Daniel Schneidermann : D'accord. Et donc il a trouvé ça le 21 mars.
Éric Leblond : Il a trouvé ça le 21 mars.
Daniel Schneidermann : Il y a plein de choses incroyables dans cette histoire. Il y a le fait que tant d'entreprises, tant de sites utilisent ce logiciel et que personne n'ait décelé la faille jusqu'à présent.
Jean-Marc Manach : Il faut savoir que, quand ça a été rendu public, la semaine dernière, on estime il y a cinq cent mille serveurs qui étaient vulnérables. C’était 11 % des serveurs. Il y a un universitaire qui estime qu'il y avait 11 % des serveurs qui étaient vulnérables le lundi et que le mercredi c’était un peu moins de 6 %. Donc il y avait 5 % qui avaient patché, c'est-à-dire qui avaient corrigé le logiciel pour faire de telle sorte qu'on ne puisse pas exploiter la faille.
Daniel Schneidermann : Avant la découverte du 21 mars ?
Jean-Marc Manach : Ah non non.
Daniel Schneidermann : Après ?
Jean-Marc Manach : Le 21 mars il y a la découverte. Ensuite, Google corrige la faille sur ses serveurs à lui. Google prévient OpenSSL, les gens responsables du logiciel, qui eux vérifient que la faille existe bien, qui développent un code pour patcher, pour réparer la faille et ils tombent d'accord sur le fait qu'il y a un embargo jusqu'au 9 avril. Mais dans le même temps, fin mars ou au 1er avril, il y a une équipe de finlandais, une entreprise finlandaise qui s’appelle Codenomicon, qui identifie, elle aussi, cette faille, qui prévient l'équivalent du CERT finlandais.
Daniel Schneidermann : C'est un hasard si les découvertes, apparemment, surviennent à quelques jours.
Jean-Marc Manach : Apparemment oui.
Daniel Schneidermann : Alors pendant deux ans personne ne voit rien, et tout d'un coup, en dix jours, ils sont deux à découvrir la faille ? Question, vous savez, on se méfie de tout dans ces histoires.
Éric Leblond : C'est-à-dire, je pense qu'il y a une évolution au niveau des mécanismes de détection de ce type de problème de sécurité. On a eu, quand même, un gros historique sur cette fonctionnalité de chiffrement fourni par le protocole SSL, implémenté notamment dans OpenSSL, qui est donc la victime du jour, et donc on a eu, récemment, Apple qui a eu une jolie erreur de code.
Jean-Marc Manach : Goto fail.
Éric Leblond : Appelée Goto fail, oui.
Jean-Marc Manach : C’était un autre bug.
Éric Leblond : Un autre très bête, voilà. Si on a un niveau de complexité cinq sur Heartbleed, on a un niveau de complexité, en termes d'erreur de niveau un sur celle Apple ; là c'était vraiment une erreur de débutant. Et donc, ce qui ne serait pas étonnant, c'est que je crois que Codenomicon ils travaillent sur des outils d'analyse du code source.
Daniel Schneidermann : Codenomicon c'est le deuxième découvreur.
Éric Leblond : C'est le deuxième découvreur, oui, et je ne serais pas étonné, qu'ils aient, eh bien que ça soit dans l'air du temps de chercher ce genre d'erreur, et que ça soit la même chose que Google ait faite, et qui explique un peu la concomitance de la découverte.
Daniel Schneidermann : Pourquoi c’est dans l'air du temps de chercher ce genre d’erreur ?
Jean-Marc Manach : Snowden, entre autres.
Daniel Schneidermann : Ah !
Jean-Marc Manach : C'est-à-dire que comme on sait, parmi les révélations Snowden, on sait, on a découvert que la NSA dépense énormément d'argent, un, pour installer des back doors, des portes dérobées, des failles de sécurité, dans certains logiciels, deux, pour identifier des failles de sécurité pour que, eux, puissent les exploiter pour espionner. Et donc, il y a un certain nombre de professionnels de la sécurité informatique et de développeurs, notamment de logiciels libres, qui ont entrepris le fait de vérifier le code source de leurs logiciels, pour être sûrs qu'ils ne puissent pas être exploités par la NSA.
Daniel Schneidermann : Donc il y a bien un rapport, enfin, sous réserve de confirmation, l'éventualité d'un lien, c'est clair ?
Jean-Marc Manach : C'est pour ça que c'est dans l'air du temps. Après, quel lien avec Snowden ? C'est dans l'air du temps, depuis un an maintenant, de renforcer la sécurité des logiciels et la sécurité des infrastructures Internet, et des protocoles.
Daniel Schneidermann : Juste, ce logiciel OpenSSL, là, il est monopolistique dans ce qu'il fait, ou il est en concurrence avec d'autres logiciels, pour le coup, qui ne seraient pas libres, qui seraient fermés qui seraient propriétaires, propriétés d'entreprises ? Ou est-ce qu'il est le seul à faire ce qu'il fait ?
Jean-Marc Manach : Il n'est pas le seul à faire ce qu'il fait, mais déjà, ce qu'il faut savoir c'est qu'il y a certaines versions d'OpenSSL qui n'ont pas cette faille. Il y a plein de serveurs qui utilisent une version d'Open SSL qui est plus ancienne, celle avant il y a deux, ceux qui n'ont pas mis à jour le logiciel depuis deux ans, eh bien, il n'y avait pas la faille. Après, je ne sais pas, je vais plutôt demander à Éric quels sont les équivalents non-libres de OpenSSL.
Éric Leblond : Il y a les implémentations, notamment, dans le langage Java.
Daniel Schneidermann : Ça fait quatre fois que vous dites « implémentation », là je vais craquer. Oui, il y a donc des ?
Éric Leblond : Il y a donc des versions
Daniel Schneidermann : Voilà, c'est tellement mieux !
Éric Leblond : Donc des versions qui existent dans beaucoup de langages, en fait, puisque c'est quelque chose d'assez fréquent. OpenSSL est une des plus complètes et, par conséquent, des plus utilisées, mais on se retrouve avec quelque chose où il y a beaucoup de différentes versions que ce soit en propriétaire ou en open source. Voilà. La problématique c'est qu'on est sur quelque chose qui est extrêmement complexe puisqu’on a, par exemple, sept cent mille lignes de code, sept cent mille lignes écrites.
Jean-Marc Manach : C'est sept cent mille sur OpenSSL ?
Éric Leblond : Sur Open SSL, oui.
Daniel Schneidermann : Vous aviez dit ?
Jean-Marc Manach : J'avais dit trois cents, oui.
Éric Leblond : Trois cents, oui, oui. C'est à vérifier
Jean-Marc Manach : C'est plusieurs centaines de milliers de lignes de code.
Daniel Schneidermann : C'est beaucoup.
Éric Leblond : C'est plusieurs centaines de milliers de lignes de code et c'est excessivement complexe.
09' 27
Daniel Schneidermann : C'est beaucoup. Ces découvreurs finlandais, là cette boîte, Comecon, c'est ça ?
Jean-Marc Manach : Codenomicon.
Daniel Schneidermann : Codenomicon, c'est qui ?
Jean-Marc Manach : Codenomicon, c'est une boîte qui fait 60 à 70 % de son chiffre d'affaires avec des industriels liés au marché de la défense. Donc, il y a des gens qui se demandent s'ils ne sont pas liés aussi, et s'ils ne comptent pas parmi leurs clients le ministre de la Défense américain, ou des services de renseignement, et, potentiellement, la NSA, et eux, leur métier, c'est effectivement, eh bien de trouver des failles de sécurité pour arriver à les patcher, pour arriver à les corriger.
Daniel Schneidermann : Attendez, attendez, Jean-Marc, je n'y comprends rien. Vous me dites d'un côté Snowden, donc tout le monde se demande s'il n'y a pas des failles dans les logiciels, etc, donc tout le monde cherche. Maintenant vous me dites les mecs qui trouvent c'est justement des gens qui sont peut-être liés
Jean-Marc Manach : Qui peuvent avoir pour clients.
Daniel Schneidermann : Qui sont peut-être liés, vous avez dit, qui sont peut-être liés au ministère de la Défense américain, alors !
Jean-Marc Manach : Là où j'ai dit qu'ils sont liés, là où je dis qu'ils sont liés, c'est qu'il y a un des principaux responsables de Codenomicon, qui est un américain, c'est une boite finlandaise, mais un de ses principaux responsables c'est un américain, qui se trouve avoir été l'un des principaux responsables de la sécurité informatique sous Georges Bush, sous Obama ; et qui était, également, le responsable sécurité informatique de Microsoft ; et qui, maintenant, est parti à la retraite de la fonction publique américaine et qui est advisory board de Codenomicon. Donc, il y a des gens qui ont commencé, comme ça, à se dire, mais c'est bizarre, ce mec-là il vient des Américains, il a bossé avec les présidents, avec Georges Bush, etc, et c'est sa boite qui trouve la faille. Bon, je n'en sais rien. Ce que je sais c'est que donc, fin mars début avril, ils trouvent la faille, ils préviennent le CERT finlandais. Le CERT c'est, dans chaque pays, il y a un CERT qui est un Computer Emergency Responsive Team, une équipe pour répondre aux problèmes de sécurité informatique, donc ils préviennent le CERT, et ils ont un coup de génie. Ils identifient, donc, ça c’était le samedi, ils se disent « bon ben, si on suit la procédure classique, ça va s'appeler le bug CVE 2014-01 60. Ça, ça ne parle à personne ».
Daniel Schneidermann : Mais si !
Jean-Marc Manach : Donc, ils se disent on va lui donner un nom de code. Et comme ça part, la faille porte sur une extension qui s'appelle Heartbeat donc, battement de cœur, ils se disent on va appeler ça Heartbleed, le cœur qui saigne. Ils font appel à un designer qui dessine ce logo-là d'un cœur qui saigne. Ils rachètent le nom de domaine heartbleed.com qui, auparavant, était un forum utilisé par les Émos, vous savez ces gens qui se mettent du maquillage noir et qui sont tout tristes, etc, un peu comme les ??? dans les années 80. Donc, ils rachètent le nom de domaine, et puis ils font une page web où ils expliquent qu'est-ce que c'est que heartbleed, qu'est-ce que c'est que cette faille de sécurité, pourquoi est-ce que c'est important, et ils le rendent public le 7 avril dernier.
Daniel Schneidermann : Là on parle toujours de Codenomicon cette fameuse entreprise.
Jean-Marc Manach : Cette fameuse entreprise finlandaise.
Daniel Schneidermann : Dirigée par un ancien responsable de la sécurité informatique sous Bush et sous Obama, c'est ça ?
Jean-Marc Manach : Voilà.
Daniel Schneidermann : On parle toujours de cette boîte-là.
Jean-Marc Manach : C'est un coup de pub monumental, pour leur boîte, mais en même temps c'est un coup de génie d'un point de vue de comm' parce que jamais les médias n'en auraient parlé si c’était resté sous le nom CVE 2014-01 60. Alors que là Heartbleed, tout de suite ça a été repris par la presse informatique aux États-Unis, puis par la presse internationale, et effectivement, les médias, depuis maintenant, une dizaine de jours en parlent quotidiennement.
Daniel Schneidermann : D'accord. Et c'est une boîte qui vend de la sécurité informatique ?
Jean-Marc Manach : Oui.
Daniel Schneidermann : Donc, évidemment soupçons. Est-ce que cette boîte qui vend de la sécurité informatique n'a pas tendance à grossir le danger ? Je veux dire plus les gens vont penser que « hou là là, c'est très dangereux, il y a des risques, il y a des trous dans les dispositifs de sécurité, il faut changer tous vos mots de passe, etc, plus les gens vont penser ça, plus les gens vont acheter de la sécurité informatique. Est-ce qu'il n'y a pas un risque qu'on se laisse manipuler par cette opération de comm', de Codenomicon, autour de Heartbleed.
Éric Leblond : Il y a quelque chose d'assez intéressant qui s'est produit avec la société qui s'appelle Cloud ?
Jean-Marc Manach : CloudFlare.
Éric Leblond : CloudFlare, voilà, qui est une société qui fournit du service aux États-Unis et qui a lancé un challenge en disant « on pense qu'on n'est pas impacté, notamment, sur une des ressources principales qui est le secret déposé sur le serveur qui permet de garantir la validité de tous les échanges qui ont été faits ». Ils se sont dit ce n'est pas possible que. Ils ont fait un magnifique ??? de blog, très bien détaillé, expliquant pourquoi ce n’était pas possible. Et puis neuf heures après personne n'avait encore, en utilisant les techniques qui avaient été dévoilées pour utiliser l'attaque, n'avait encore réussi à récupérer ce secret. Et puis donc ils ont dit « vous avez vu, ça ne marche pas ». Très bien. Et puis là ils ont fait une légère erreur, c'est dans leur blog, erreur de manipulation, ils ont redémarré le service qui fait fonctionner le système, et là, ça a entraîné la possibilité de le faire. C'est-à-dire qu'il y avait un effet de bord auquel ils n'avaient pas pensé.
Daniel Schneidermann : D'accord.
Éric Leblond : Qui a permis à des attaquants d'accéder à la ressource la plus secrète du serveur.
Daniel Schneidermann : Alors ça ça ne répond pas à ma question « est-ce qu'il n'y a pas un risque qu'on se fasse tous un peu manipuler par cette fameuse boîte Codenomicon, là, qui a un intérêt objectif à exagérer le danger »
Éric Leblond : Non. Si on récupère, si cette ressource a été récupérée,
Daniel Schneidermann : Cette ressource ? C'est-à-dire ?
Éric Leblond : Le secret du serveur, disons, ce qu'on appelle la clef privée du serveur, pour parler techniquement. Donc cette clef privée, en fait, si on la récupère on peut déchiffrer l’intégralité du trafic qui a été émis par le serveur, sauf conditions spécifiques d'implémentation. Je retire !
Daniel Schneidermann : C'est bien, vous vous êtes repris.
Éric Leblond : Il faut que j’arrête. Et donc possible de récupérer cet élément clef, d'arriver donc à déchiffrer le trafic qui s'est produit sur le serveur, qu'on aurait pu capturer avant, donc ça veut dire qu'on peut remettre en jeu l'intégralité de la confidentialité.
Daniel Schneidermann : D'accord. Ce que vous etes en train de nous dire c'est que c'est, effectivement, dangereux,
Éric Leblond : C'est effectivement très dangereux.
Daniel Schneidermann : D'accord, en même temps, excusez-moi, ce n'est pas contre vous, mais vous aussi vous êtes quelqu'un qui, d'une certaine manière, vend de la sécurité informatique.
Éric Leblond : Oui, bien sûr.
Daniel Schneidermann : Donc, ça parait logique que disiez ça. Et je pose la question à Jean-Marc qui, lui, ne vend pas de la sécurité informatique, enfin pas que je sache.
Jean-Marc Manach : Non.
Daniel Schneidermann : Non, voilà. Est-ce que ce risque existe ? Est-ce qu'il peut arriver que des consultants en sécurité, des entreprises qui vendent de la sécurité grossissent ?
Jean-Marc Manach : Ce sont des pratiques qui ont existé dans les années 90. Mais là, ce qu'il faut bien comprendre, c'est qu'on parle d'un Logiciel Libre. Donc ce n'est pas un fonctionnement marchand comme un logiciel propriétaire.
Daniel Schneidermann : En tout cas il y a toujours des marchands derrière
Jean-Marc Manach : Certes.
Daniel Schneidermann : Il y a des gens qui l’entretiennent, qui le mettent à jour.
Jean-Marc Manach : Mais ce n'est pas une stratégie publicitaire, au sens où il y a réellement un problème. Pour expliquer un petit peu différemment, Bruce Schneier, qui est une des autorités en matière de sécurité informatique, le premier jour il dit sur une échelle de un à dix on est à onze. Donc là effectivement effet de panique.
Daniel Schneidermann : Et lui il ne vend rien lui, Bruce Schneier ?
Jean-Marc Manach : Si il bosse aussi dans la sécurité informatique.
Rire de Daniel Schneidermann
Daniel Schneidermann : Ah ! Pas de bol.
Jean-Marc Manach : Je vais donner un autre exemple, Tor, la fondation Tor, qui elle ne vend rien, son logiciel c'est gratuit, qui est très utilisé, notamment depuis les révélations Snowden, eux, sur leur blog, ils expliquent si vous voulez vraiment être en sécurité sur Internet, ne venez pas sur Internet pendant quelques jours, faites autre chose, mais ne vous connectez pas à Internet, en tout cas en utilisant des logins/mots de passe, des choses sécurisées, parce qu'il faut quelques jours pour qu'on arrive à mesurer l'ampleur du problème. Quelques jours après, Bruce Schneier revient en disant « en fait, là, on est petit peu dans une configuration, un petit peu comme avec le bug de l'an 2000. C'est-à-dire que potentiellement ça peut avoir des effets catastrophiques, colossaux, sauf que, concrètement, on est en train d'essayer de savoir si oui ou non ça a été exploité depuis deux ans, parce que si, réellemen,t ça a été exploité depuis deux ans c'est catastrophique. Si personne n'a exploité la faille depuis deux ans c'est beaucoup moins catastrophique parce que, concrètement, là si on prend combien d’entreprises, combien de sites web ont demandé à leurs utilisateurs de changer de mot de passe parce qu'il y a eu risque.
Daniel Schneidermann : Juste Jean-Marc sur cette question est-ce qu'on peut savoir si la faille a été exploitée depuis deux ans ou pas ?
Jean-Marc Manach : Pour l'instant les gens qui ont commencé à chercher, un travail de police presque d'expert de la police technique et scientifique, il faut rechercher dans les archives, pour l'instant on n'a pas trouvé. Il y a eu deux traces qui ont été trouvées, mais un c'est ce qu'on appelle un faux positif, c'est-à-dire ça ressemble à une exploitation de la faille, mais ce n’était pas une exploitation de la faille et l'autre, on en parlait tout à l'heure, c’était un cas. Enfin il y a une transaction.
Éric Leblond : Une fois. Sachant que dans le cas dont je parlais tout à l'heure de CloudFlare, il a fallu trois cent mille essais pour arriver à récupérer la donnée secrète.
Jean-Marc Manach : Là on a trouvé un essai.
Éric Leblond : On a trouvé un essai. Ce n'est pas, donc, une exploitation massive qui a été prouvée par cet échantillon qui a été trouvé.
Jean-Marc Manach : Donc. si ça a été exploité depuis deux ans, c'est catastrophique. Si ça n’est exploitable que depuis la semaine dernière, sachant que la majeure parties des sites ont patché dans les heures qui ont suivi la révélation du bug, ont mis à jour leur logiciel pour empêcher l'exploitation, c'est moins catastrophique. Aujourd’hui, il y a deux cas avérés d'exploitation de données où il y a des informations sensibles qui ont fuité. Il y a une autorité administrative, au Canada, qui a reconnu que neuf cents numéros d'assurance sociale de leurs utilisateurs avaient été volés, en exploitant cette faille de sécurité. Donc, l’administration canadienne s'est engagée à leur écrire par courrier papier, pour ne pas passer par Internet, à changer leur mot de passe, et à leur fournir des systèmes d'assurance en cas d'exploitation de leur numéro d'assuré social. Et sinon, on a ce matin, un forum utilisé par un million cinq cent mille personnes en Grande-Bretagne, qui est un forum de mamans, qui lui aussi, pendant quelques heures, a été exploitable. On ne sait pas encore combien de données.
Daniel Schneidermann : Exploitable, mais pas forcément exploité.
Jean-Marc Manach : Si. Il y a eu une faille de sécurité qui a été exploitée, maintenant on ne sait pas encore, sur les 1,5 millions d'utilisateurs, combien de mots de passe ont été compromis. On a également le cas de Darty, où on sait que Darty, pendant 48 heures, son site web de commerce électronique était vulnérable. Darty a contacté les utilisateurs de ces services, les clients qui auraient vu potentiellement leurs données sensibles siphonnées par des assaillants, mais on ne sait pas combien sont contactés. Donc là, on est encore en gestion de crise. On ne sait pas encore combien de personnes ont vu leurs données siphonnées.
Daniel Schneidermann : D'accord. Mais alors du coup, moi internaute, qui ai un compte sur Darty éventuellement, sur PriceMinister, sur Le Bon coin ou sur le site du Monde, etc, quels sont les moyens que j'ai de savoir si les sites sur lesquels je vais sont affectés ou pas ?
Jean-Marc Manach : Il existe plusieurs serveurs, enfin plusieurs sites web, qui permettent de vérifier si la faille existe. Vous rentrez Heartbleed test, vous rentrez le nom du site web qui vous intéresse, vous appuyez sur le bouton Go, et ensuite il va vous dire si oui ou non le serveur est vulnérable à cette faille de sécurité.
Daniel Schneidermann : Pour nos abonnés, le site sur lequel il faut aller c'est celui-là, c'est Heartbleed test ?
Jean-Marc Manach :Il y en a cinq ou six.
Daniel Schneidermann : Le meilleur c'est lequel ?
Jean-Marc Manach :Le meilleur c'est celui de Qualys qui s'appelle SSL '
Éric Leblond : SSL Labs.
Jean-Marc Manach : SSSL Labs, c'est le plus complet.
Daniel Schneidermann : SSL Labs point ? Point quoi ?
Jean-Marc Manach :Point com, je pense, mais vous tapez SSL Labs dans un moteur de recherche, il va vous renvoyer vers ce serveur-là.
Daniel Schneidermann : De toutes façons on va vous donner la liste de ces sites sur l'article accompagnant l'émission.
Jean-Marc Manach : C'est le plus complet. Sachant que, sur ce serveur, ça va vous dire si aujourd'hui il est vulnérable ou pas. Sauf que le problème, typiquement on prend le cas de Yahoo ou de Darty, aujourd'hui on va vous dire que le serveur n'est plus vulnérable, sauf qu'il l'a été
Éric Leblond : Si on prend le cas du problème qu'il y a eu au Canada, ils ont été vulnérables, enfin, entre l'annonce publique de la faille et le fait qu'il aient patché et donc fixé le problème sur leur système, il s'et passé six heures.. Et les six heures ont suffit à ce qu'il y ait des données exploitées.
Daniel Schneidermann : Ils ont quand même réagi très très vite.
Éric Leblond : Ils ont réagi très très vite, il n'y a rien à dire là-dessus. Il ont réagi très vite. Ils ont réussi à trouver qu'il y avait, effectivement, une fuite de données qui avait été faite. Mais l’une de problématiques de cette faille c'est qu'elle ne laisse pas de trace. Il y a beaucoup d'attaques, où, lorsqu’on fait l'attaque, on a tout de suite une trace qui est laissée. Mais celle-ci se passe de telle manière, que lorsqu'on a vu descendre de XKCD tout à l'heure, on récupère l'intégralité des données, eh bien on est en plein milieu des transferts du protocole et des échanges et donc, par conséquent, c'est tout à fait normal.
Daniel Schneidermann : Alors si elle ne laisse pas de trace comment on peut savoir que ce fameux site canadien, par exemple, a été infecté ?
Éric Leblond : On peut faire a posteriori, savoir, regarder l'intégralité des échanges du protocole. C'est-à-dire tout ce qui a été transité sur votre lien internet en direction de ce serveur-là, on peut le stocker, et après dire « maintenant je vais faire une étude a posteriori, maintenant que je sais qu'il y a la faille et je vais chercher les motifs qui correspondent à cette faille et faire une alarme derrière».
Daniel Schneidermann :OK. Donc elle laisse quand même des traces ?
Éric Leblond : Elle laisse des traces.
Jean-Marc Manach : Ça dépend si vous avez une caméra de surveillance ou pas.
Éric Leblond :Exactement. Si on a fait la démarche de tout stocker ce qui passait, peu vraisemblable, parce que ça veut dire qu'on a stocké l'intégralité des échanges qui ont transité sur le serveur depuis des mois, depuis deux ans, quasiment, il faudrait garder pour savoir si on été impacté ou pas. Il y a très peu de sociétés ou d'organismes qui peuvent se permettre ça.
21' 35
Daniel Schneidermann : Et alors les cinq ou six sites,