Heartbleed: run you fools !
L’évocation d’une faille de sécurité a toujours été un moment très angoissant pour les utilisateurs d’une solution logicielle mais aussi et surtout pour ceux qui en sont responsables, ou à défaut responsables de colmater la brèche avant que le petit baquet à eau ne suffise plus à écoper et que l’on commence doucement à sombrer.
C’est ce phénomène – plutôt étonnant étant donné sa médiatisation – qui s’est passé ces derniers jours avec la divulgation d’une faille de sécurité dans OpenSSL, l’implémentation libre des protocoles de sécurité (SSL/TLS). Alors bon, je ne pense pas qu’il soit vraiment nécessaire de revenir en long, en large et en travers sur le pourquoi du comment, on va directement aller droit au but: la sur-médiatisation du problème.
Oh, bien sûr, communiquer à propos d’une faille de sécurité est toujours un bon point, surtout lorsqu’elle touche beaucoup de gens, peu informés sur le fonctionnement de la chose qui plus est. En revanche, l’affaire « heartbleed » m’a fait un peu tiquer. En effet, les médias, dans leur bonne grâce et dans leur recherche perpétuelle du scoop qui fera vendre leurs nouvelles, on énormément exagéré la chose. Bien sûr, une faille dans SSL/TLS, c’est grave. Bien sûr, des pirates peuvent voler des données en usant du passage. Bien sûr ils peuvent avoir accès à votre mot de passe, les clés de chiffrement, et bien d’autres éléments en mémoire vive. Tout cela, je ne le remet pas en question.
Ce que je trouve limite, en revanche, c’est les mesures et les avertissements que l’on se permet de diffuser au grand public qui, dans son ignorance des règles de sécurité (la plupart du temps, il faut bien admettre qu’il y a peu de gens qui attachent une réelle importance à leur sécurité sur Internet… mises à jour pas vraiment régulières, antivirus périmés, pare-feu troué, sécurité pour smartphone qui n’en sont pas, on ne peut pas dire que ce soit très glorieux) prend vite peur. Et oui, ma foi c’est ce qui arrive quand les gens commencent à faire confiance en ce petit cadenas vert en haut dans leur barre d’adresse. Ils se croient à l’abri de tout… mais en fait, la réalité est toute autre.
A titre d’exemple, j’ai pu lire des choses affreusement ridicules dans les journaux qui étaient à disposition sur mon lieu de travail. Par exemple:
- Ce n’est pas de la sécurité, mais certains journalistes confondent encore « programmateur » – qui, grosso-modo est un appareil qui vous permet d’enregistrer des émissions télé quand vous n’êtes pas là ou qui peut également servir à allumer à des heures définies un appareil électrique – avec « programmeur » ou encore mieux « développeur » qui est une personne en charge de la création et l’évolution d’une solution logicielle… pas la même chose, merci d’en prendre bonne note une fois pour toutes !
- Une société de conseil aurait indiqué qu’il fallait mieux « éviter de se connecter à Internet pendant quelques jours« … oui, tout à fait. Pas de recherche sur Internet, ne comptez pas lire votre journal en ligne, ne consultez pas de blogs, ne relevez pas vos mails (quoique, c’est du TLS la plupart du temps maintenant, ça peut se tenir), enfin bref, ne vous connectez pas. Ce sont des conneries, tout simplement. Il faut se renseigner sur les services encore vulnérables (des outils existent là et là, notamment) et ne pas s’y connecter, c’est tout ! Pour le reste, faites comme bon vous semble !
- Pour certains journalistes encore, une faille = un virus. Non mais, est-ce qu’ils travaillent vraiment pour informer les gens, ou est-ce qu’ils sont là pour la désinformation ? Enfin bon, depuis quand considère-t-on systématiquement une égratignure sur votre peau comme étant le signe d’une grave maladie ?
Bon, maintenant que j’ai pu cracher mon venin sur les erreurs d’évaluation des journalistes qui ont voulu s’approprier un scoop à tout prix (y compris celui de la vérité), il faut dire ce qui est: la faille de sécurité reste importante et il convient de faire attention dans les prochains jours afin d’éviter de confier ses informations à n’importe qui. Après, il faut voir si l’exploitation de cette faille est aisée ou non et si elle a pu être exploitée précédemment… ce qui est impossible puisqu’elle ne laisse aucune trace.
Bref, pour les plus inquiets (et les prudents, aussi), changez vos mots de passe une fois que la faille est colmatée et on n’en parle plus, non ? Je trouve qu’on fait beaucoup de bruit pour quelque chose de pareil tout de même ! Je veux dire, des millions de personnes confient – sans se poser de questions – chaque jour des informations privées / confidentielles à des réseaux sociaux ou des sociétés qui stipulent clairement dans leur CGUs qu’elles revendent des informations à des tiers. Alors pourquoi diable est-ce que tout le monde en fait un fromage ? Cette faille permet simplement de faire la même chose que les personnes peu prudentes font, mais de manière automatisée.
Si vous ne trouvez pas que confier des informations personnelles à des entreprises comme Facebook, Twitter, Google, Dropbox, etc. est complètement déraisonné, pourquoi trouvez-vous soudainement alarmant qu’on puisse espionner votre trafic Internet en HTTPS ? Oh, c’était à cause du petit cadenas vert… je vois…
P.-S: Ce n’est pas ledit petit cadenas vert – faille de sécurité ou non – qui vous protégera de l’espionnage et du vol d’informations, cela dit, soyez-en conscient 😉
Source de l’image d’entête: Pixabay.
Les articles de presse incriminés
Les articles sur lesquels j’ai un peu haussé le ton sont les suivants (cliquez dessus pour les agrandir) :
Quelques liens pour s’informer
Quelques liens pratiques pour s’informer réellement sur Heartbleed:
5 réflexions sur « Heartbleed: run you fools ! »
Merci d’avoir pris le temps de traiter ce sujet, j’aurais bien voulu le faire, mais comme tu le sais bien je suis plutôt pris ces temps… 😉
Tu évoques de manière fort éclairée tout ce qui m’énerve dans le journalisme grand public en général: approximations en tout genre, désinformation, connaissances plus que douteuses des sujets traités (et ça se sent à la lecture de ces articles nauséabonds). De plus, sans minimiser les faits, il faut avouer que HeartBleed, à côté de la NSA, c’est vraiment du scandale de seconde zone.
Bref, tu es en plein dedans à mon sens et je ne peux que plussoyer! À bientôt et bonne continuation! 😉
Merci pour ton commentaire. C’est vrai que le journalisme aujourd’hui m’exaspère un peu parce qu’il n’est plus fait de manière complète. Les gens ne se renseignent pas suffisamment et veulent s’emparer du premier « scoop » à leur portée.
Et tu as totalement raison, Heartbleed est à mon sens moins grave que ce que la NSA essaie (et réussi parfois, malheureusement) de mettre en oeuvre.
Qu’à cela ne tienne, si tu veux faire un article là-dessus, ne te gène pas hein ! Tu as sans doute plein d’autres choses à dire 😉
Le pire dans l’histoire c’est que je connais les « torchons » incriminés :’)
C’est aussi mon avis sur cette faille : de la mauvaise communication auprès du grand public et une volonté de faire le buzz en invoquant les scénarios catastrophes-de-la-mort.
I much prefer inaomrftive articles like this to that high brow literature.