Mise en évidence des faiblesses de l'open source.
thierryR Membre non connecté
-
- Voir le profil du membre thierryR
- Inscrit le : 02/02/2010
- Site internet
Maxime Pinard : Je pense qu’il faut distinguer les problèmes posés par Heartbleed. Le temps d’existence de cette faille me semble le plus préoccupant, même si ce n’est pas un cas isolé, de même qu’il serait intéressant de savoir qui était au courant de Heartbleed : NSA, géants du Web, hackers ?
Concernant la nature open source d’OpenSSL, j’y verrais au contraire davantage une chance qu’une faille, dans la mesure où il s’agit d’un logiciel libre, capable d’être analysé par tout bon codeur. Certes, cela signifie que les clés du logiciel sont accessibles en théorie à l’ensemble des internautes, dont des cybercriminels, mais l’histoire d’Internet montre que c’est avec ce genre de conception de l’informatique (open source) que l’on parvient à améliorer sensiblement et dans un délai relativement court la sécurité des logiciels.
La situation aurait été radicalement différente s’il s’était agi d’un logiciel propriétaire, l’entreprise détentrice des droits subissant les foudres de ses clients et devant parer avec ses propres ressources. On l’imagine mal en effet dévoiler à la communauté d’internautes le code source du dit-logiciel, même si cela serait dans l’intérêt commun.
L’histoire d’Heartbleed montre en tout cas qu’Internet, en dépit d’un discours bien trop rassurant vis-à-vis des internautes, n’est pas l’espace sûr à 100% que l’on imagine. Internet est un assemblage de technologies de pointe et du travail de millions d’êtres humains qui peuvent faire des erreurs. Comme toute "machine", Internet peut connaître des dysfonctionnements.
Quelles sont les premières causes de ces failles ? L'harmonisation du web, si elle forme un plus indéniable, n'en est-elle pas une également ?
Pour répondre à la première partie de votre question, je ferai un parallèle avec l’industrie automobile. A l’exception de très rares cas, lorsqu’on achète une voiture, elle répond à un cahier des charges extrêmement précis et rigoureux et demande plusieurs phases de test et de sécurisation avant d’être commercialisée pour des raisons de sécurité évidentes. Dans le secteur des NTIC, la situation devrait être identique, mais ce n’est pas le cas. Afin de ne pas être dépassé par un concurrent, une entreprise des NTIC va sortir très fréquemment (des cycles de 6 mois parfois !) des produits certes opérationnels, mais qui ne sont pas totalement finalisés techniquement. On se retrouve ainsi avec des outils technologiques, des logiciels ou des services Web qui vont faire l’objet de mises à jour successives (comme chez Microsoft avec Windows) afin de combler les failles de sécurité ou les bugs laissés inévitablement par les programmeurs. De toute manière, on ne peut garantir pour des logiciels aux fonctions complexes comme un système d’exploitation qu’une erreur ne se sera glissée dans les millions de lignes de code écrites.
La suite ici
débusqueur de bugs et chercheur en améliorations
Amicalement vôtre.
Kernel: 4.4.92-desktop-1.mga5 x86_64 (64 bit) Desktop: KDE 4.14.35 Distro: Mageia 5 thornicroft
Machine: Mobo: ASUSTeK model: X751SA v: 1.0 Bios: American Megatrends v: X751SA.403
CPU: Quad core Intel Pentium N3710 (-MCP-) cache: 1024 KB Graphics: Card: Intel Atom/Celeron/Pentium Processor x5-E8000/J3xxx/N3xxx Integrated Graphics Controller
Amicalement vôtre.Kernel: 4.4.92-desktop-1.mga5 x86_64 (64 bit) Desktop: KDE 4.14.35 Distro: Mageia 5 thornicroft
Machine: Mobo: ASUSTeK model: X751SA v: 1.0 Bios: American Megatrends v: X751SA.403
CPU: Quad core Intel Pentium N3710 (-MCP-) cache: 1024 KB Graphics: Card: Intel Atom/Celeron/Pentium Processor x5-E8000/J3xxx/N3xxx Integrated Graphics Controller
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie