Maintenant que le pic de l’épisode Heartbleed est passé, il ne faut surtout pas tourner la page et passer à autre chose, mais revenir sur cette faille pour en tirer des leçons afin que ce genre de situation ne se reproduise si possible plus.
Des sites web aux réseaux sociaux, en passant par les banques et les plateformes d’e-commerce, plus de la moitié d’internet a été impacté par la faille de sécurité Heartbleed. Si la première réaction serait de se dire « à quoi servent les systèmes de sécurité mis en place ? », la réponse est simplement que Heartbleed touchait OpenSSL, justement les outils chargés d’assurer cette sécurité.
Maintenant que l’on sait que cette faille permettait à des personnes malveillantes de récupérer des informations confidentielles telles que des noms, des mots de passe ou encore des données bancaires, comment faire pour que cela ne se reproduise pas ?
Sans vouloir remettre en cause le principe du logiciel libre (GNU), l’épisode Heartbleed rallume l’ancien débat entre logiciel libre et logiciel propriétaire vu qu’OpenSSL est justement un développement participatif de bénévoles. Alors que la sécurité de l’open-source était jusqu’à maintenant réputée être sûre, car testée par une plus large communauté, cette affaire démontre tout le contraire.
Alors que les entreprises sont consommatrices de technologie, l’épisode Heartbleed a aussi permis de mettre en avant que les sociétés n’ont pas toujours la maitrise escomptée de leurs systèmes d’information vu qu’il leur aura fallu de nombreux jours pour faire le tour de leurs serveurs pour corriger la faille. Dès lors, un tel incident ne serait-il pas aussi l’occasion de remettre à plat l’informatique de nombreuses sociétés ?
Car, dans la même logique, pourquoi cette faille n’a pas été découverte plus tôt alors que les grands groupes ont les moyens de s’offrir des tests d’intrusions, ou qu’ils n’ont pas su identifier des attaques utilisant cette faille, ce qui est tout autant dommageable.
Mais ce qui pourrait choquer aussi, sans remettre en doute les qualités d’OpenSSL, c’est le fait que plus de la moitié de l’internet utilise OpenSSL, ce qui a donné à toutes ces entreprises la maille maillon faible, la même faille. Si la standardisation des technologies est une bonne chose, est-ce la solution idéale face à ce genre d’incident ? Si les standards sont utiles en matière de simplification et de coûts, n’existe-t-il pas d’autres alternatives ?
Le dernier point à souligner est le manque de communication des entreprises. Si Heartbleed, OpenSSL ou d’autres appellations ne parlent pas au grand public, celui-ci a tout de même le droit d’être informé des perturbations sur internet, mais aussi de la possible mise en péril de ses propres données auprès de telle ou telle entreprise/site sur le net. Ce manque de communication va, tôt ou tard, se traduire par une baisse de confiance des utilisateurs, une confiance dans la sécurité d’internet qui était déjà passablement ébranlée par le scandale des pratiques de la NSA.
Pour finir, l’épisode Heartbleed n’est pas forcément un mal en soi, car il permet de poser beaucoup de questions, ce qui obligera beaucoup de sociétés à réfléchir à leur informatique et à sa sécurisation.