Où se cache le prochain bug Heartbleed ?

Après avoir provoqué une panique généralisée et des changements de mots de passe, le bogue Heartbleed a largement disparu de l'actualité. Pourtant, les implications de la découverte sont encore débattues dans l'industrie informatique. La plus grande préoccupation des experts en sécurité est de savoir comment prévenir les autres failles qui se cachent dans les fondations d'Internet.





Le bogue Heartbleed a été découvert plus tôt ce mois-ci dans un logiciel appelé OpenSSL qui est largement utilisé pour établir une connexion sécurisée entre les navigateurs Web et les serveurs en gérant les clés cryptographiques impliquées. OpenSSL est un projet open source, ce qui signifie que le code sous-jacent est publié avec le logiciel. De plus, comme de nombreux autres efforts open source, il est maintenu par un petit groupe de programmeurs bénévoles (voir The Underfunded Project Keeping the Web Secure ).

Le problème est reconnu par les grandes sociétés de logiciels qui s'appuient sur des efforts comme OpenSSL. La semaine dernière, le Fondation Linux , qui prend en charge le populaire système d'exploitation Linux, a lancé un effort appelé le Initiative d'infrastructure de base pour soutenir de petits projets open source. Des entreprises telles que Google, Amazon, Facebook, IBM, Intel, Cisco et Dell ont jusqu'à présent engagé plus de 3 millions de dollars dans cet effort. Un comité de pilotage tentera d'identifier les projets open source qui ont le plus besoin d'un soutien financier.

Le problème avec l'open source est que vous avez le problème du « passager clandestin », explique Chris Wysopal, un expert en sécurité informatique bien connu et directeur de la technologie et cofondateur de Code Vera , une société d'évaluation de la sécurité des applications. Les personnes et les entreprises qui l'utilisent et en tirent une énorme valeur ne donnent pas beaucoup d'argent pour le maintenir.



Même trois semaines après la découverte du bogue, certaines entreprises à la traîne mettent toujours à jour leurs serveurs, installent de nouveaux certificats cryptographiques et demandent aux utilisateurs de réinitialiser leurs mots de passe. Plus troublant pour des experts comme Wysopal, c'est que d'autres composants fondamentaux d'Internet sont, comme OpenSSL, de petits projets open source. Et il peut être difficile de dire qui peut ne pas disposer des ressources nécessaires pour vérifier rigoureusement son code à la recherche de failles de sécurité.

Avant la découverte du bogue Heartbleed, peu de gens avaient entendu parler d'OpenSSL ou des 11 développeurs qui consacrent une grande partie de leur temps au projet. le Fondation logicielle OpenSSL , qui gère les contrats commerciaux pour l'organisation, n'emploie qu'un seul développeur à temps plein. Il a reçu un total de 2 000 $ de dons l'année dernière et n'a jamais perçu plus d'un million de dollars de revenus pour ses services de conseil et d'assistance.

Il devrait y avoir au moins une demi-douzaine de membres à temps plein de l'équipe OpenSSL, et pas un seul, capables de se concentrer sur les soins et l'alimentation d'OpenSSL sans avoir à bousculer le travail commercial, a écrit Steve Marquess, le collecteur de fonds officiel et contact commercial pour le logiciel OpenSSL. Fondation, dans un article de blog peu de temps après la divulgation de Heartbleed. Si vous êtes un décideur d'entreprise ou du gouvernement en mesure de faire quelque chose à ce sujet, réfléchissez-y. S'il te plaît.



Marc Maiffret, directeur technique de Au-delà de la confiance , une société de logiciels de sécurité, affirme que d'autres projets open source sont confrontés à un problème similaire. Les gens supposent que juste parce que quelque chose est open source, il y a cet effort magique qui se poursuit pour trouver des bogues et le sécuriser. Mais cela commence généralement avec quelques personnes, peut-être que cela devient populaire, puis se termine… avec quelques personnes.

Wysopal de Veracode dit que le problème clé est qu'il n'y a aucun moyen d'évaluer l'importance des différents éléments de l'infrastructure Internet : si quelqu'un voulait attaquer à grande échelle de nombreux sites, quels composants sont largement utilisés et au premier plan de la surface d'attaque ?

Le défi de prédire où de grandes vulnérabilités peuvent apparaître est aggravé par le fait que les programmeurs Internet construisent de plus en plus leur code à l'aide d'une gamme d'outils différents. Dans un rapport publié l'année dernière, une société appelée Aspect Security a découvert que 26% des bibliothèques téléchargées pour être utilisées dans des applications présentaient des vulnérabilités connues. Le problème est qu'il y a tellement de composants dont dépend la pile logicielle, explique Jeff Williams, cofondateur et CTO d'Aspect. Internet est une botte de foin pleine d'aiguilles.



cacher