Mieux vaut tard que jamais. Deux semaines après la médiatisation du bug Heartbleed, qui a causé un fort émoi sur le web, les géants de l'industrie high tech et du web vont soutenir le développement d'OpenSSL en donnant de l'argent. C'est la moindre des choses pour des sociétés qui profitent largement des avantages de cette bibliothèque de cryptographie.

Révélée au début du mois, la faille Heartbleed dans le logiciel OpenSSL a causé un rare vent de panique sur le web. Il faut dire que cette vulnérabilité nuit à un élément central du réseau : la protection des échanges entre le navigateur de l'utilisateur et les différents services en ligne auxquels ce dernier accède : sa banque, sa messagerie électronique, son site de e-commerce, son réseau social préféré.

Selon des estimations publiées dans les heures qui ont suivi la découverte de Heartbleed, près de 17 % des serveurs (environ un demi-million) étaient concernés par cette brèche. Exploitée par une personne mal intentionnée (au moins une personne a d'ores et déjà été arrêtée), elle permet par exemple de lire une partie de la mémoire du serveur ou du client pour récupérer des informations confidentielles.

Aujourd'hui, la situation tend à s'améliorer. Suite à la médiatisation de Heartbleed, nombreux sont les services à avoir procédé à la mise à jour de la bibliothèque de cryptographie OpenSSL. Des conseils ont ensuite été fournis par certaines autorités, comme le centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques et la commission nationale de l'informatique et des libertés.

L'argent fait défaut

Mais s'il a été dévoilé début avril, le bug Heartbleed est en réalité présent dans OpenSSL depuis 2012. Il s'est donc écoulé pas moins de deux ans entre le moment où la faille a été introduite par erreur dans le code source et l'instant de sa découverte. Pourquoi un tel délai ? La réponse est hélas d'une banalité sans nom : parce que le développement d'OpenSSL est assuré par une poignée de développeurs bénévoles.

Certes, il est possible de soutenir le développement de la bibliothèque de cryptographie. Il existe une page de dons (d'ailleurs, celle-ci accepte depuis peu les versements en Bitcoins via Coinbase), mais les soutiens sont rares. Sur une année classique, les dons ne dépassent généralement pas le seuil des 2000 dollars. Et une semaine après la découverte de Heartbleed, "seuls" 841 dollars ont été reçus.

Certes, la fondation OpenSSL a aussi tissé des contrats commerciaux. Mais en cinq ans, cela n'a jamais dépassé le million de dollars. Or cela est un peu court pour payer les développeurs impliqués dans OpenSSL, selon Steve Marquess, le créateur de la fondation pour le logiciel OpenSSL, lors d'un entretien accordé au New York Times.

C'est là tout le paradoxe d'OpenSSL. L'outil est massivement utilisé sur le web, notamment par les géants de l'industrie des services en ligne pour fournir une protection à leurs utilisateurs, mais ces plateformes le lui rendent bien mal. Alors que certaines firmes génèrent des milliards de dollars chaque année, pratiquement aucun soutien financier n'est prévu pour soutenir l'amélioration d'OpenSSL.

Les géants du net se mobilisent enfin

Les choses sont toutefois en train de changer. Selon un message publié sur le site de la fondation Linux, l'affaire Heartbleed a visiblement eu l'effet d'un électrochoc puisque plusieurs géants du net font mettre la main à la poche pour soutenir le développement (on parle de plusieurs millions de dollars) des "éléments critiques de l'infrastructure mondiale de l'information", ce qui inclut OpenSSL.

"Cette 'initiative permet aux entreprises de l'industrie high tech d'identifier et de financer ensemble des projets open source qui sont dans le besoin, tout en permettant aux développeurs de continuer à travailler dans les conditions qui ont fait le succès de l'open source", indique le communiqué, qui précise que "le premier projet à l'étude pour recevoir des fonds de l'Initiative sera OpenSSL".

Quelles sont les entreprises qui participeront à ce programme ? La fondation cite Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Microsoft, NetApp, Intel, Qualcomm, Rackspace et VMware. Les fonds serviront évidemment à payer les développeurs clés d'OpenSSL, mais aussi à financer d'autres initiatives, incluant la collecte "d'avis extérieurs" (audits ?) et l'amélioration de la réactivité des équipes lorsqu'un patch est nécessaire.

Partager sur les réseaux sociaux

Articles liés