Les leçons à tirer de Heartbleed

Mon travail ne consiste pas seulement à analyser les malwares et les vulnérabilités, ou à parler des dernières menaces de sécurité, mais une part importante est aussi de tenter d’expliquer

Mon travail ne consiste pas seulement à analyser les malwares et les vulnérabilités, ou à parler des dernières menaces de sécurité, mais une part importante est aussi de tenter d’expliquer et d’éduquer les utilisateurs sur comment construire leur propre sécurité. Pour cela, les sujets sur lesquels j’essaie d’insister sont la nécessité d’effectuer des copies de sauvegarde, de se protéger contre les codes malveillants, de garder vos systèmes à jour avec les derniers patchs de sécurité et bien évidemment d’utiliser le chiffrement. Je suis certain que vous en avez déjà entendu parler, non ?

Mais que faisons-nous quand le logiciel de sécurité que nous utilisons devient également vulnérable et qu’il est donc le point d’entrée pour de nombreux pirates ?

C’est un sujet extrêmement sensible en ce moment, surtout depuis que l’attaque de Heartbleed au sein de OpenSSL a été rendue publique. J’ai décidé d’écrire ce post en utilisant un point de vue plus personnel parce que je suis certain que vous trouverez des tonnes d’articles sur le SSL et l’attaque Heartbleed mais je voulais partager mon opinion sur pourquoi ces vulnérabilités sont si critiques.

Avant que je ne commence à parler de l’attaque de Heartbleed, je pense qu’il est important de mentionner que la mentalité avec laquelle nous regardons les logiciels de sécurité, de nos jours, est mauvaise.  La façon dont nous évaluons les produits ou les solutions de sécurité consiste à regarder les fonctionnalités et les caractéristiques, et si elles correspondent à ce que nous souhaitons faire, nous les achetons.

Le problème avec cela est que nous avons tendance à oublier toutes les choses que la solution de sécurité ne sera pas capable de faire pour nous. Nous devons comprendre que les produits et les solutions de sécurité devraient permettre de créer un environnement sécurisé.

Nous devons comprendre que les produits et les solutions de sécurité devraient permettre de créer un environnement sécurisé.

Mais quelle est donc la relation avec la vulnérabilité Heartbleed de OpenSSL ? Je pense qu’en général nous pensons qu’Internet fonctionne bien et qu’il s’agit d’une plateforme sécurisée. Nous utilisons Internet pour des choses très personnelles : faire des rencontres ou du shopping, communiquer, gérer nos finances, et bien plus. Le problème avec Internet c’est que quand quelque chose va mal, cela peut aller très mal, très rapidement.

Le gros problème avec Internet c’est qu’il est extrêmement fragmenté. Certaines ressources en ligne sont extrêmement sécurisées et disposent d’infrastructures très robustes alors que d’autres ressources ont complètement été oubliées et sont extrêmement fragiles et vulnérables. Il y a également des sites  que nous considérons très sécurisés et robustes et qui ont en fait tendance à devenir vulnérables du fait que les systèmes soient si dépendants les uns des autres. Il est impossible de sécuriser chaque composant de nos systèmes IT.

Quand nous utilisons Internet, nous devons toujours penser au pire et agir en conséquence. Le problème est que nous utilisons également des ressources hors du monde de l’Internet dans lesquelles nous avons confiance tels que les systèmes médicaux, les gouvernements et autres, mais ils utilisent également Internet. Donc quand quelque chose d’aussi important que Heartbleed se produit, l’impact est énorme.

Il est assez difficile de définir à quel point l’attaque de Heartbleed s’est répandue et quel en sera l’impact quand les criminels commenceront à exploiter cette vulnérabilité. Mais imaginez que quelqu’un soit capable de copier les clés de tous les coffres forts du monde ? Cela peut sembler horrible au premier abord mais tout dépend de ce qu’il y a dans les coffres.

J’espère que nous ne verrons pas d’autre vulnérabilité de sécurité similaire dans un futur proche car nous allons être occupé avec celle-là pendant longtemps. Mais nous devons nous rappeler qu’un logiciel est un logiciel et qu’il peut toujours contenir une vulnérabilité. Nous devons également commencer à comprendre que même si nous effectuons des copies de sauvegarde, que nous chiffrons nos données et que nous nous protégeons des codes malveillants, nous disposons toujours de données sensibles qui pourraient fuir. Et dans le cas où cela se produirait, nous devons tout faire pour que ces données soient aussi inutiles que possible pour la personne qui les obtiendra.

 

Conseils