Sign up to save your podcasts
Or
Share Heartbleed, l'électrochoc qui secouait l'open source dès 2014
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Heartbleed, l'électrochoc qui secouait l'open source dès 2014
Bonjour à tous et bienvenue dans le ZD Tech, le podcast quotidien de la rédaction de
ZDNet. Je m’appelle Louis Adam et aujourd’hui je vais vous parler de la faille
Heartbleed, et de la façon dont celle-ci a posé à grande échelle la question de la
sécurisation de l’open source.
Alors, Heartbleed, qu’est-ce que c’est ? C’est le nom donné à une faille de sécurité
découverte dans le projet OpenSSL. Et OpenSSL, c’est un logiciel libre fournissant
des outils essentiels dans la mise en place du chiffrement des données sur internet.
Créé en 1998, OpenSSL voit sa popularité grandir à mesure qu’internet se développe
et que les échanges sécurisés prennent de l’importance.
Au début des années 2010, tout le monde ou presque utilise OpenSSL. Le logiciel
permet d’éviter par exemple que votre mot de passe ou vos données bancaires circulent en clair et sans protection sur le réseau.
Mais, en 2014, un grain de sable vient faire dérailler cette belle machine.
Des chercheurs découvrent une faille affectant OpenSSL depuis plus de trois ans.
Identifiée officiellement comme CVE 20140160, elle écope du surnom de
Heartbleed et d’un logo dédié. Un effort de marketing qui vise à attirer l’attention
sur cette faille, jugée très grave par les chercheurs à l’origine de la découverte.
Cette vulnérabilité permet à l’attaquant de récupérer des informations confidentielles
sur les sites et services affectés. Dans la liste des concernés, on retrouve des sites
web, des applications, des systèmes d’exploitation et autres firmwares utilisés par des
équipements réseau.
Ce genre de vulnérabilité, qui affecte un composant très populaire, n’est pas toujours
facile à corriger. En 2019, soit un peu plus de cinq ans après la découverte de la faille, on trouve encore sur internet des systèmes vulnérables à Heartbleed.
L’électrochoc Heartbleed a néanmoins poussé l’écosystème à s’interroger sur les
origines du problème. De nombreux experts et journalistes ont ainsi rappelé que,
malgré son immense popularité, le projet OpenSSL était un petit logiciel libre. En
2014, il ne pouvait compter que sur deux employés à plein temps et un peu moins de
2 000 dollars de dons annuels pour assurer son fonctionnement. Difficile dans ces
conditions d’assurer un code dépourvu de bugs.
Cette prise de conscience a poussé l’industrie du logiciel à réagir. C’est ainsi qu’est
née la Core Infrastructure Initiative, aujourd’hui devenue l’Open Source Security
Foundation. L’objectif de cette structure est d’empêcher l’arrivée du prochain
Heartbleed : elle tente de sécuriser les projets open sources jugés essentiels, en s’appuyant sur les financements fournis par les géants du numérique tels que Google,
Amazon ou Microsoft.
Plus facile à dire qu’à faire : les moyens de ce type d’initiative restent maigres face à la profusion de petits projets qui reposent sur des ressources limitées et le bon vouloir de développeurs bénévoles. Et aujourd’hui, les projets open source peuvent rapidement devenir des briques essentielles pour de nombreux services majeurs.
Et voilà, normalement on a fait le tour du sujet. Pour en savoir plus, rendez-vous sur
ZDNet.fr, et retrouvez tous les jours un nouvel épisode du ZD Tech sur vos
plateformes de podcast préférées.
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
View all episodes
By ZD Tech : tout comprendre en moins de 3 minutesBonjour à tous et bienvenue dans le ZD Tech, le podcast quotidien de la rédaction de
ZDNet. Je m’appelle Louis Adam et aujourd’hui je vais vous parler de la faille
Heartbleed, et de la façon dont celle-ci a posé à grande échelle la question de la
sécurisation de l’open source.
Alors, Heartbleed, qu’est-ce que c’est ? C’est le nom donné à une faille de sécurité
découverte dans le projet OpenSSL. Et OpenSSL, c’est un logiciel libre fournissant
des outils essentiels dans la mise en place du chiffrement des données sur internet.
Créé en 1998, OpenSSL voit sa popularité grandir à mesure qu’internet se développe
et que les échanges sécurisés prennent de l’importance.
Au début des années 2010, tout le monde ou presque utilise OpenSSL. Le logiciel
permet d’éviter par exemple que votre mot de passe ou vos données bancaires circulent en clair et sans protection sur le réseau.
Mais, en 2014, un grain de sable vient faire dérailler cette belle machine.
Des chercheurs découvrent une faille affectant OpenSSL depuis plus de trois ans.
Identifiée officiellement comme CVE 20140160, elle écope du surnom de
Heartbleed et d’un logo dédié. Un effort de marketing qui vise à attirer l’attention
sur cette faille, jugée très grave par les chercheurs à l’origine de la découverte.
Cette vulnérabilité permet à l’attaquant de récupérer des informations confidentielles
sur les sites et services affectés. Dans la liste des concernés, on retrouve des sites
web, des applications, des systèmes d’exploitation et autres firmwares utilisés par des
équipements réseau.
Ce genre de vulnérabilité, qui affecte un composant très populaire, n’est pas toujours
facile à corriger. En 2019, soit un peu plus de cinq ans après la découverte de la faille, on trouve encore sur internet des systèmes vulnérables à Heartbleed.
L’électrochoc Heartbleed a néanmoins poussé l’écosystème à s’interroger sur les
origines du problème. De nombreux experts et journalistes ont ainsi rappelé que,
malgré son immense popularité, le projet OpenSSL était un petit logiciel libre. En
2014, il ne pouvait compter que sur deux employés à plein temps et un peu moins de
2 000 dollars de dons annuels pour assurer son fonctionnement. Difficile dans ces
conditions d’assurer un code dépourvu de bugs.
Cette prise de conscience a poussé l’industrie du logiciel à réagir. C’est ainsi qu’est
née la Core Infrastructure Initiative, aujourd’hui devenue l’Open Source Security
Foundation. L’objectif de cette structure est d’empêcher l’arrivée du prochain
Heartbleed : elle tente de sécuriser les projets open sources jugés essentiels, en s’appuyant sur les financements fournis par les géants du numérique tels que Google,
Amazon ou Microsoft.
Plus facile à dire qu’à faire : les moyens de ce type d’initiative restent maigres face à la profusion de petits projets qui reposent sur des ressources limitées et le bon vouloir de développeurs bénévoles. Et aujourd’hui, les projets open source peuvent rapidement devenir des briques essentielles pour de nombreux services majeurs.
Et voilà, normalement on a fait le tour du sujet. Pour en savoir plus, rendez-vous sur
ZDNet.fr, et retrouvez tous les jours un nouvel épisode du ZD Tech sur vos
plateformes de podcast préférées.
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
More shows like ZD Tech : tout comprendre en moins de 3 minutes avec ZDNet
View all
L'édito éco
13 Listeners
Les Enjeux internationaux
45 Listeners
L'édito d'Etienne Gernelle
10 Listeners
Tech Café
13 Listeners
Choses à Savoir - Culture générale
74 Listeners
Choses à Savoir SCIENCES
23 Listeners
Comprendre le monde - par Pascal Boniface
24 Listeners
Choses à Savoir TECH
3 Listeners
iWeek (la semaine Apple)
5 Listeners
HugoDécrypte - Actus et interviews
84 Listeners
Underscore_
19 Listeners
Affaires de business
3 Listeners
Monde Numérique (Actu Tech)
5 Listeners
Sortie de veille
3 Listeners
Le fil IA
0 Listeners