L’alerte sonnée la semaine dernière sur la faille dite « Heartbleed » affectant le protocole d’encryptage OpenSSL a déclenché des réactions fébriles tous azimuts : des hackers, nous dit-on, ont pu se servir de cette faille pour accéder à des listings de données d’utilisateurs. Des dizaines de services en ligne de premier plan ont alors demandé par précaution à leurs utilisateurs de modifier leurs identifiants. L’attention se tournait ensuite vers les grands fabricants d’équipements tels que serveurs et routeurs, notamment Cisco et Qualcomm, lancés à leur tour dans des vérifications intenses pour s’assurer que leurs produits n’étaient pas eux aussi exposés à cette vulnérabilité. Cerise sur le gateau, Bloomberg annonçait alors, citant deux sources anonymes, que la malfamée agence américaine de renseignement NSA connaissait cette faille depuis deux ans et n’avait pipé mot afin de pouvoir discrètement en profiter elle-même.
Le bug dans le protocole OpenSSL a été découvert par des analystes finlandais et un autre chez Google. Son nom est dérivé de « heartbeat », un des éléments du protocole rythmant l’échange de données entre serveurs participant à un échange, qui présenterait cette faille dans son actuelle version en raison apparemment d’une inattention dans la rédaction de son code il y a environ deux ans. Ce bug donne accès à la mémoire d’un serveur, permettant à des hackers de s’emparer de clés d’encryptage, de noms d’utilisateurs et de mots de passe, notamment. En plus, son utilisation ne laisse aucune trace, a expliqué un expert de la firme finlandaise à l’origine de la découverte cité par le New York Times.
Dans ce cas, qu’ont fait Google, Yahoo, Amazon, Dropbox et les autres pour réagir à cette alerte? Faute d’éventuels indices extérieurs révélant une fraude, impossible a priori de savoir si cette faille a été mise à profit par des internautes malveillants. Du coup, les sites ont sans doute dû, dans leur grande majorité, se contenter de mettre à jour le protocole OpenSSL, sa dernière version étant réputée réparée. Les experts en sécurité informatique ont affirmé que selon leurs constatations, des hackers connaissaient la faille. Mais à ce jour, aucune fraude s’appuyant sur Heartbleed n’a été citée : on reste dans le domaine de la conjecture.
Mieux vaut prévenir que guérir, dit l’adage, et sans doute la réaction quelque peu hystérique à l’alerte Heartbleed s’inscrit-elle dans cette veine. Mais en s’adressant à des experts en sécurité informatique pour documenter leurs articles, les médias, indispensable relais pour ce type d’alerte, n’ont-ils pas tendance à fausser le jeu ? Ces experts représentent des solutions et services qu’ils vendent cher, surtout en situation de crise. La surenchère entre services en ligne à qui prendra le plus de précautions pour protéger les données de ses utilisateurs fait le reste.
Une semaine plus tard, que reste-t-il de l’alerte Heartbleed ? Le même New York Times cite à présent des experts qui se demandent si cette faille a vraiment pu être mise à profit par des hackers. Des spécialistes californiens lui ont déclaré avoir essayé de l’exploiter cette semaine sans avoir réussi à extraire des clés de sécurité privées.
Sortant de son mutisme de plusieurs jours après l’affirmation par Bloomberg que la NSA avait exploité la faille et s’était gardée d’en faire état, la Maison Blanche a pris la peine cette semaine de démentir. Caitlin Hayden, porte-parole du Conseil national de sécurité, a déclaré: « Des informations selon lesquelles la NSA ou tout autre instance gouvernementale était au courant de la vulnérabilité Heartbleed avant avril 2014 sont fausses ». Après les atterrantes révélations d’Edward Snowden sur les abus de la NSA, il est tentant et sans doute légitime de douter de la valeur de ce démenti. Mais il est lui-même indirectement corroboré par l’avis d’experts qui ont estimé, après le « scoop » de Bloomberg, que ce bug constitue un outil de collecte de renseignements « peu pratique » en ce qu’il permet, au mieux, une collecte de données « aléatoire ». Une description qui ne vaut certainement pas pour l’arsenal des moyens d’interception de la NSA…