L'alerte n'intervient que dans les premiers jours d'avril 2014. Jusqu'ici personne n'avaient constaté de péril. Le risque : des cyber-criminels pouvaient facilement retrouver les informations personnelles d'internautes utilisateurs de ces sites, dans la mémoire des serveurs informatiques. Noms et mots de passe en premier lieu. Quelques jours après la découverte du problème, un correctif est publié pour panser la plaie. Il s'agit de réviser le code-source d'OpenSSL. Aux directions des services informatiques d'appliquer ce « patch » sur les sites des entreprises. OpenSSL est une boite à outils de cryptographie, développée par des bénévoles et très largement utilisée par les professionnels.
Quelques sites Internet se sont d'ores et déjà déclarés victimes de la faille Heartbleed (notamment le site de la sécurité sociale canadienne). La liste n'est sûrement pas close. De prochaines découvertes de fuites de données trouveront probablement leur origine dans ce loupé de la sécurité informatique. Mais les entreprises qui ont intégré OpenSSL sur leurs sites peuvent déjà retenir de premières leçons de cet épisode.
Les entreprises n'ont pas su repérer Heartbleed par elles-mêmes
Heartbleed pointe l'impuissance des grands groupes à surveiller leurs infrastructures techniques et à détecter les attaques. En deux ans, aucune d'entre elles ne s'est rendue compte du bug présent dans le système qu'elles utilisaient et qu'elles proposaient à leurs propres clients. « Les entreprises sont consommatrices de technologie, elles ne sont pas expertes en sécurité informatique », souligne Thierry Karsenti, directeur technique Europe de Check Point Security. Des tests d'intrusions ont-ils été menés ? « Oui, répond Yogi Chandiramani, directeur Europe de FireEye, mais il s'agissait de trouver une aiguille dans une botte de foin ».Les entreprises utilisent OpenSSL sans le savoir
Pire encore, Heartbleed montre que les entreprises ne connaissent pas toujours précisément l'architecture de leur système d'information. Il a fallu plus d'une dizaine de jours à certaines pour faire l'inventaire des serveurs qu'elles utilisent. A leur décharge, les DSI ont parfois la charge de plusieurs centaines d'applications, dans le monde entier. « Il faut maintenant sécuriser tous les serveurs critiques, ceux des sites tournés vers l'extérieur de l'entreprise mais aussi ceux qui permettent aux collaborateurs de se connecter aux outils internes et ceux permettant d'administrer le système informatique », alerte Yogi Chandiramani. Sans oublier les serveurs des partenaires externes connectés à l'entreprise grâce au cloud computing. La Cnil rappelle qu'il est légalement obligatoire de corriger une telle faille de sécurité.
Heartbleed, une limite de la standardisation
Internet, et l'informatique en général, repose sur la standardisation des technologies. Ce qui offre beaucoup de facilité pour les entreprises et quelques dangers. Heartbleed en était un. « Quand on utilise tous la même technologie, elle devient notre dénominateur commun et notre point faible », remarque Thierry Karsenti. Puisque la majorité des sites ayant recours à un système d'authentification sécurisé avait recours à OpenSSL, la moindre faille sur ce système a des conséquences lourdes. En l'occurrence, une menace très importante sur les données personnelles de millions d'internautes. Attention toutefois, se passer des standards n'apporte pas plus de sécurité et demande des investissements importants.Heartbleed, un accro à l'open-source
Le débat entre soutien du logiciel libre (GNU) et défenseur du logiciel propriétaire (Microsoft) est ancien. Heartbleed remet de l'eau au moulin en faveur des licences restrictives. Jusqu'ici, l'open-source était réputé plus sûr car testé par une large communauté. « Heartbleed a permis de se rendre compte qu'une grave faille sur un logiciel open-source peut exister et avoir des conséquences graves», note Yogi Chandiramani. Les logiciels développés sous licence open-source peuvent être étudiés de près puisque leurs codes informatiques sont publics. Sans renier tous les avantages du travail collaboratif induit par l'open-source, « l'excès de transparence permet à de mauvaises paires d'yeux de repérer les failles », affirme Thierry Karsenti. Les défenseurs de l'open-source remarquent que les entreprises utilisent des logiciels libres sans jamais contribuer à leur développement, y compris en ce qui concerne les questions de sécurité.Les entreprises auraient dû communiquer davantage
Prises en défaut, les entreprises victimes de Heartbleed se sont faites plutôt discrètes. La presse spécialisée, notamment NextInpact, s'en est fait l'écho. Victimes de vols de données récemment, le distributeur Target et Orange avaient adopté la même attitude. « OpenSSL, ce n'est pas quelque chose qui parle au public mais il faut communiquer », considère Thierry Karsenti. Certes, dans le cas précis d'Heartbleed, il était compliqué d'identifier les personnes qui ont pu être victimes. Mais ne rien dire est tout aussi difficile pour les entreprises. Leurs clients peuvent douter de la sécurité de leur site. L'Agence Nationale de Sécurité des Systèmes d'information préconise de changer de mots de passe sur les plate-forme touchées par Heartbleed.