Personne ne le connaissait il y a encore quelques jours, il est désormais une star planétaire. En tous les cas dans le milieu de la sécurité informatique. Robin Seggelmann, la trentaine passée, résidant de la ville allemande Münster, auteur d’une thèse universitaire sur les communications sécurisées et… responsable de la désormais célèbre faille « Heartbleed ».
Interrogé par le Sydney Morning Herald, il explique avoir participé au développement du protocole OpenSSL il y a deux ans. « J’ai corrigé beaucoup de bogues et introduit de nouvelles fonctionnalités. Malheureusement, dans une de ces fonctionnalités, j’ai oublié de vérifier une variable qui contenait une longueur [d’un message protocolaire, ndlr] », explique-t-il. Or, c’est justement cette non-vérification qui est à l’origine de l’énorme faille « Heartbleed » (une bonne explication technique est disponible sur le blog de Lexsi).
Normalement, dans les processus de codage open source, il y a toujours une personne qui relit un nouveau code écrit par un contributeur. Manque de bol, cette erreur de programmation n’a pas non plus été remarquée par l’examinateur en question, un certain Dr Stephen Henson, également spécialiste en sécurité informatique d’origine britannique. L’erreur de codage est donc restée, pour être implémentée ensuite sur la plupart des serveurs web. C’est un bel exemple de la fameuse loi de Murphy : « Quand un truc peut mal tourner, il va forcément mal tourner ».
Théorie du complot
Certains internautes, toutefois, ont du mal à croire à la malchance et ont échafaudé des thèses conspirationnistes. Dans un forum spécialisé, un certain Gomyway explique par exemple que Robin Seggelmann « est un employé de T-System International GmbH, qui est une société détenue par le gouvernement allemand » et que Dr Stephen Henson « n’habite pas très loin du quartier général du GCHQ en Grande-Bretagne ». Tiens donc. Ces deux compères étaient-ils en réalité à la solde de la NSA pour introduire, ni vu ni connu, une porte dérobée dans le protocole OpenSSL ?
M. Seggelmann comprend qu’il puisse être « séduisant » de croire pareille chose, surtout après toutes les révélations d’Edward Snowden. « Mais dans ce cas, il s’agissait d’une simple erreur de programmation dans une nouvelle fonctionnalité, et tout cela s’est malheureusement passé dans un domaine lié à la sécurité. Ce n’était pas volontaire du tout », explique-t-il, précisant qu’il ne fait partie d’aucune agence de renseignement. Toutefois, il estime qu’il est tout à fait possible que ce bogue ait été exploité en douce par certains gouvernements. Mais personne ne le saura jamais.
La morale de l’histoire est qu’il faut davantage de développeurs dans les projets open source tel qu’OpenSSL pour vérifier les lignes de code. Avis aux amateurs…
Lire aussi :
Faille Heartbleed : testez la vulnérabilité de vos services en ligne, le 09/04/2014
Source :
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
