Heartbleed – Faille de la décennie - 14h42

De April MediaWiki
Version datée du 8 avril 2015 à 06:17 par Morandim (discussion | contributions) (Page créée avec « Catégorie:Transcriptions '''Titre :''' Contre Heartbleed, pour une hygiène des mots de passe ! '''Intervenants :''' Jean-Marc Manach - Anne Levade - Éric Leblond... »)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Aller à la navigationAller à la recherche


Titre : Contre Heartbleed, pour une hygiène des mots de passe !

Intervenants : Jean-Marc Manach - Anne Levade - Éric Leblond - Daniel Schneidermann

Lieu : Émission 14h42

Date : Avril 2014

Durée : 43 min

Lien vers la vidéo

00' transcrit MO

Daniel Schneidermann : Bonjour et bienvenue dans ce douzième numéro de 14h42. La sécurité de nos achats en ligne, la confidentialité de nos mots de passe, et donc, de toutes nos données, sont-elles menacées, en plus de toutes les autres menaces évidemment, par ce qu'on appelle la faille Heartbleed. Depuis quelques semaines les articles se multiplient dans la presse en ligne, confus, parfois contradictoires, nous laissant dans l’incertitude sur le point de savoir, s'il faut, ou non, changer tous nos mots de passe. Pour une fois, donc, Jean-Marc Manach a changé de casquette et a troqué sa casquette d'animateur contre sa merveilleuse casquette d'expert. Mais, il faudrait en avoir deux, pour de bon, la prochaine fois pour répondre à toutes les questions qu’on peut se poser sur Heartbleed. Également avec nous Éric Leblond. Vous êtes spécialiste en sécurité du Logiciel Libre et par ailleurs vous avez créé une société dans laquelle vous vendez des prestations de sécurité aux gens et aux sites et aux entreprises qui utilisent le Logiciel Libre, donc votre avis nous sera particulièrement précieux. Comme il s'agit de parler à tous ceux qui n'ont rien compris, voire pas lu un seul des articles consacrés à Heartbleed, on va essayer de poser, tout au long de cette émission, des questions vraiment basiques. C'est pour ça qu'on a pris, dans l'équipe, le moins spécialiste imaginable de toutes ces questions et je commence donc par une question extrêmement large, Jean-Marc, Heartbleed, la faille Heartbleed c'est quoi ? Comment est configurée cette faille ?

Jean-Marc Manach : En fait, c'est une faille dans un logiciel qui s'appelle OpenSSL, qui est un logiciel qui est utilisé par plusieurs centaines de milliers de serveurs, et qui permet de sécuriser une communication entre votre navigateur et un serveur distant. Et cette faille, en fait, repose sur une extension du logiciel OpenSSL, qui s'appelle Heartbeat, donc le cœur qui bat, d'où le nom qui a été trouvé Heartbleed, le cœur qui saigne, et qui permettait de communiquer, de garder une communication active entre le client et le serveur, entre un ordinateur et le serveur distant.

Daniel Schneidermann : À l'intérieur du logiciel de sécurisation ?

Jean-Marc Manach : Au moment où il y avait une connexion qui se faisait pour confirmer que la sécurité était bien enclenchée entre les deux ordinateurs, en fait, il y a une faille, qui existe, et qui fait que, normalement, l’ordinateur dit « dis-moi un mot de quatre lignes » et le serveur envoyait quatre lignes. Sauf que la faille, là, permettait à un attaquant de dire « renvoie-moi soixante-quatre kilos de données », et le serveur renvoyait, soixante-quatre kilos, alors c'est kilo-octet, ce n'est pas des kilos, mais soixante-quatre kilo-octets de données ce qui transitait sur le serveur.

Daniel Schneidermann : Trop bête le serveur !

Jean-Marc Manach : Dans ces données il peut y avoir des mots de passe, il peut y avoir des clefs de sécurité, il peut y avoir des cookies de session. C'est un petit fichier qui permet de vous identifier auprès du site que vous visitez, et donc, par extension, on peut récupérer des données qui, normalement, n'auraient jamais dues pouvoir être consultées par un tiers.

Daniel Schneidermann : Ce que vous expliquez là a été expliqué magistralement par un dessinateur américain, auteur dans une petite BD en ligne.

Jean-Marc Manach : XKCD.

Daniel Schneidermann : XKCD c'est le nom de son blog. Voilà.

Jean-Marc Manach : Là il explique : « je te dis patate, six lettres »  et l'ordinateur, le serveur répond « patate, six lettres »  et puis ensuite « bird, quatre lettres », il renvoie « bird, quatre lettres ».

Daniel Schneidermann : Jusque là ça marche bien.

Jean-Marc Manach : Jusque là ça marche bien, sauf là il dit « renvoie-moi chapeau, cinq cents lettres » et là le serveur renvoie chapeau plus cinq cents lettres. Et donc, c'est là où, dans ces cinq cents lettres, on peut trouver des données qui, normalement, ne devraient jamais sortir de cette conversation sécurisée entre un client et un serveur.

Daniel Schneidermann : D'accord. Donc si vous voulez tout savoir sur XKCD, Randall Munroe, lire le portrait qu'on vient de publier sur le site. Éric Leblond, évidemment, Jean-Marc Manach parle sous votre contrôle, puisque j'ai dit que vous êtes spécialiste.

Jean-Marc Manach : Est-ce que j'ai dit des choses, qui ne sont pas tout à fait exactes ?

Daniel Schneidermann : Dans cette émission, quand on a un expert, on a un contre-expert. Pour l'instant ça va ? Il n'a pas trop dit de bêtises ?

Éric Leblond : Non, non, jusque là c'est parfait.

Daniel Schneidermann : C'est exactement ça. Cette faille, elle existe depuis combien de temps ?

Jean-Marc Manach : En fait, ce qu'on a découvert, c'est donc un chercheur allemand qui, il y a deux ans, a rajouté quelques lignes de code dans OpenSSL. C'est un logiciel libre, donc ça veut dire que tout un chacun, plein de développeurs contribuent au développement de ce logiciel, et donc, il y a deux ans, il a rajouté une fonctionnalité dans le logiciel et, en fait, c'est là où est apparue la faille. C'est-à-dire qu'il a fait une erreur, une erreur triviale, mais que personne n'a détectée. C'est-à-dire qu'à l’époque les responsables du logiciel OpenSSL n'ont pas repéré cette faille de sécurité, personne n'avait repéré, jusqu’à fin mars, je crois, où fin mars il y a une première équipe.

Éric Leblond : Le 21 mars il y a quelqu’un de chez Google qui a trouvé, de son côté, la faille, il a fallu faire une étude du code. Quand on lit le code attentivement, la faille est assez facile à trouver, quand on sait ce qu'on cherche.

Jean-Marc Manach : C'est trois cent mille lignes de code, quand même, le logiciel.

Éric Leblond : Ils ont regardé, à mon avis, l'implémentation pour voir ce qui se passait.

Daniel Schneidermann : Implémentation ?

Éric Leblond : Implémentation, c'est-à-dire la manière dont le fonctionnement du protocole était décrit en termes de code pour ordinateur.

Daniel Schneidermann : D'accord. Et donc il a trouvé ça le 21 mars ?

Éric Leblond : Il a trouvé ça le 21 mars.

Daniel Schneidermann : Il y a plein de choses incroyables dans cette histoire. Il y a le fait que tant d'entreprises, tant de sites utilisent ce logiciel et que personne n'ait décelé la faille jusqu'à présent.

Jean-Marc Manach : Il faut savoir que, quand ça a été rendu public, la semaine dernière, on estime qu'il y a cinq cent mille serveurs qui étaient vulnérables. C’était 11 % des serveurs. Il y a un universitaire qui estime qu'il y avait 11 % des serveurs qui étaient vulnérables le lundi et que le mercredi c’était un peu moins de 6 %. Donc il y avait 5 % qui avaient patché, c'est-à-dire qui avaient corrigé le logiciel pour faire de telle sorte qu'on ne puisse plus exploiter la faille.

Daniel Schneidermann : Avant la découverte du 21 mars ?

Jean-Marc Manach : Ah non non.

Daniel Schneidermann : Après ?

Jean-Marc Manach : Le 21 mars il y a la découverte. Ensuite, Google corrige la faille sur ses serveurs à lui. Google prévient OpenSSL, les gens responsables du logiciel, qui, eux, vérifient que la faille existe bien, qui développent un code pour patcher, pour réparer la faille et ils tombent d'accord sur le fait qu'il y a un embargo jusqu'au 9 avril. Mais dans le même temps, fin mars ou au 1er avril, il y a une équipe de Finlandais, une entreprise finlandaise qui s’appelle Codenomicon, qui identifie, elle aussi, cette faille, qui prévient l'équivalent du CERT finlandais.

Daniel Schneidermann : C'est un hasard si les deux découvertes, apparemment, surviennent à quelques jours.

Jean-Marc Manach : Apparemment oui.

Daniel Schneidermann : Alors pendant deux ans personne ne voit rien, et tout d'un coup, en dix jours, ils sont deux à découvrir la faille ? Question, parce que, vous savez, on se méfie de tout dans ces histoires.

Éric Leblond : C'est-à-dire, je pense qu'il y a une évolution au niveau des mécanismes de détection de ce type de problème de sécurité. On a eu, quand même, un gros historique sur cette fonctionnalité de chiffrement fourni par le protocole SSL, implémenté notamment dans OpenSSL, qui est donc la victime du jour, et donc on a eu, récemment, Apple qui a eu une jolie erreur de code.

Jean-Marc Manach : Goto fail.

Éric Leblond : Appelée Goto fail, oui.

Jean-Marc Manach : C’était un autre bug.

Éric Leblond : Un autre très bête, voilà. Si on a un niveau de complexité cinq sur Heartbleed, on a un niveau de complexité, en termes d'erreur de niveau un sur celle Apple où là c'était vraiment une erreur de débutant. Et donc, ce qui ne serait pas étonnant, c'est que je crois que Codenomicon ils travaillent sur des outils d'analyse du code source.

Daniel Schneidermann : Codenomicon c'est le deuxième découvreur.

Éric Leblond : C'est le deuxième découvreur, oui, et je ne serais pas étonné, qu'ils aient, eh bien que ça soit dans l'air du temps de chercher ce genre d'erreur, et que ça soit la même chose que Google ait faite, et qui explique un peu la concomitance de la découverte.

Daniel Schneidermann : Pourquoi c’est dans l'air du temps de chercher ce genre d’erreur ?

Jean-Marc Manach : Snowden, entre autres.

Daniel Schneidermann : Ah !

Jean-Marc Manach : C'est-à-dire que comme on sait, parmi les révélations Snowden, on sait, on a découvert que la NSA dépense énormément d'argent, un, pour installer des back doors, des portes dérobées, des failles de sécurité, dans certains logiciels, deux, pour identifier des failles de sécurité pour que, eux, puissent les exploiter pour espionner. Et donc, il y a un certain nombre de professionnels de la sécurité informatique et de développeurs, notamment de logiciels libres, qui ont entrepris le fait de vérifier le code source de leurs logiciels, pour être sûrs qu'ils ne puissent pas être exploités par la NSA.

Daniel Schneidermann : Donc il y a bien un rapport, enfin, sous réserve de confirmation, l'éventualité d'un lien, c'est clair ?

Jean-Marc Manach : C'est pour ça que c'est dans l'air du temps. Après, quel lien avec Snowden ? C'est dans l'air du temps, depuis un an maintenant, de renforcer la sécurité des logiciels et la sécurité des infrastructures Internet, et des protocoles.

Daniel Schneidermann : Juste, ce logiciel OpenSSL, là, il est monopolistique dans ce qu'il fait, ou il est en concurrence avec d'autres logiciels, pour le coup, qui ne seraient pas libres, qui seraient fermés, qui seraient propriétaires, propriétés d'entreprises ? Ou est-ce qu'il est le seul à faire ce qu'il fait ?

Jean-Marc Manach : Il n'est pas le seul à faire ce qu'il fait, mais déjà, ce qu'il faut savoir c'est qu'il y a certaines versions d'OpenSSL qui n'ont pas cette faille. Donc il y a plein de serveurs qui utilisent une autre version d'OpenSSL, qui est plus ancienne, celle avant il y a deux, ceux qui n'ont pas mis à jour le logiciel depuis deux ans, eh bien, il n'y avait pas la faille. Après, je ne sais pas, je vais plutôt demander à Éric, quels sont les équivalents non-libres de OpenSSL.

Éric Leblond : Il y a les implémentations, notamment, dans le langage Java.

Daniel Schneidermann : Ça fait quatre fois que vous dites « implémentation », là je vais craquer. Oui, il y a donc des ?

Éric Leblond : OK pardon ! Il y a donc des versions.

Daniel Schneidermann : Voilà, c'est tellement mieux !

Éric Leblond : Donc des versions qui existent dans beaucoup de langages, en fait, puisque c'est quelque chose d'assez fréquent. OpenSSL est une des plus complètes et, par conséquent, des plus utilisées, mais on se retrouve avec quelque chose où il y a beaucoup de différentes versions que ce soit en propriétaire ou en open source. Voilà. La problématique c'est qu'on est sur quelque chose qui est extrêmement complexe puisqu’on a, par exemple, sept cent mille lignes de code, sept cent mille lignes écrites.

Jean-Marc Manach : C'est sept cent mille sur OpenSSL ?

Éric Leblond : Sur OpenSSL, oui.

Daniel Schneidermann : Vous aviez dit ?

Jean-Marc Manach : J'avais dit trois cents, oui.

Éric Leblond : Trois cents, oui, oui. C'est à vérifier

Jean-Marc Manach : C'est plusieurs centaines de milliers de lignes de code.

Daniel Schneidermann : C'est beaucoup.

Éric Leblond : C'est plusieurs centaines de milliers de lignes de code et c'est excessivement complexe.

09' 27

Daniel Schneidermann : C'est beaucoup.