Je rejoins tout de même ce que dit gloup gloup, et au risque de me répéter, il faut re-la-ti-vi-ser.
On communique sur le fait que le verre est presqu'à moitié vide, alors qu'il a toujours été plus ou moins rempli qu'à moitié, et que pour le coup, il est même un peu plus qu'à moitié plein. On invoque là une situation qui est loin d'être exceptionnelle, à savoir qu'on a découvert puis rapidement corrigé une faille critique. Même les détails sont, après analyse, plutôt ordinaires. S'il ne s'agissait pas des légendaires Debian et SSL, on n'en aurait même peut-être pas parlé.
Personne ne peut sérieusement prétendre qu'un système est sûr à 100%. Car on ne prédit pas l'avenir (et jusque maintenant, je n'ai pas l'exemple d'un seul OS qui n'ait pas été pris en défaut). Des failles, on en trouvera toujours, et en premier lieu sur le système le plus répandu au monde (Windows) qui n'est pas open-source (ce ne sont pas ces dernières décennies qui me contrediront).
Le modèle de développement et de maintenance utilisé n'a rien à voir là-dedans.
Les failles sont toujours dues, à un niveau ou à un autre, à un excès de confiance dans la chaîne de vérification. Elles sont de ce point de vue inévitables (on peut se tromper dans le codage, mais aussi dans le concept ou l'utilisation). Le nombre astronomique de failles découvertes dans Windows prouve que le développement par des moyens professionnels classiques ne les empêchent pas, et ce malgré la mise en oeuvre de moyens spécifiques dans les procédures de génie logiciel.
Les failles n'ont pas d'impact tant qu'on ne les découvre pas. Et lorsqu'on les découvre, leur publicité peut certes faire du tort à l'image du produit, mais elles ne deviennent dangereuses que si on arrive à les exploiter informatiquement. Le fait que les sources soient ou non publiques a un impact différent, mais qui au bout du compte ne change rien :
- Les sources clairement lisibles sont accessibles à un plus grand nombre de personnes. La détection d'une faille est de ce point de vue plus aisé pour un malfaiteur mal outillé, mais en comparaison cela augmente considérablement plus les chances que quelqu'un d'autre s'en aperçoive et donne l'alerte afin qu'une action corrective soit engagée.
- Le fait que les sources ne soient pas disponibles n'a jamais empêché le reverse engineering et la découverte de failles, notamment lorsque celles-ci sont activement recherchées. J'en veux pour preuve les milliers de virus qui attaquent Windows. D'ailleurs les recherches menées conjointement avec l'exécution in vivo du programme présenteraient même un avantage par rapport à la démarche n'exploitant que le code source.
Les failles perdurent au moins jusqu'à ce qu'on les ait corrigées et qu'on ait appliqué le patch chez les utilisateurs. Sur le plan de la réactivité après la découverte du problème, la communauté open-source pourrait donner des leçons. Sur ce point, force est de constater que contrairement à cette faille de Debian, d'autres bien plus anciennes ont été laissées par Microsoft longtemps après leur découverte, au grand dam des utilisateurs professionnels qui en étaient avertis. Le fait qu'on paye les gens pour régler le problème n'arrange globalement pas grand chose, voire même le contraire (certains en tirent profit et font durer le plaisir).
L'impact d'une exploitation hypothétique de la faille doit aussi être relativisée.
La faille de SSL sur Debian est-elle vraiment catastrophique ? Pour ceux qui vouaient à ce système une confiance aveugle, probablement. Mais sinon, pas plus que ça, quand on sait raison garder.
Tous types de systèmes confondus, ce genre de faille n'est pas exceptionnel dans sa gravité potentielle, ni même dans le temps qui a séparé sa création de sa découverte officielle (que devraient-on dire des failles de Windows XP, datant de 2001, corrigées par le SP3 en 2008 ?).
Les Debian ont-elles été de ce fait l'objet d'attaques massives ? Il ne semble pas. Rien n'indique que cette faille ait même jamais été exploitée. À côté de ça, il y a eu une multitude d'autres failles qui l'ont été, sur Debian et sur d'autres systèmes, qui ont fait beaucoup plus de dégâts en dépit d'un gravité apparente moins élevée.
SSL, c'est un peu comme un blindage pour renforcer un tuyau, afin qu'on ne puisse pas percer ce dernier pour accéder à ce qu'il transporte. Mais c'est vite oublier qu'un tuyau, aussi solide soit-il, a tout naturellement un trou à chaque extrémité, par lequel on peut s'introduire à moindre effort. Dit autrement, le système de cryptage n'est d'aucune efficacité aux moments inévitables où les informations qu'il traite apparaissent en clair (certains outils du COFEE de Microsoft reposent sur ce principe) ou lorsqu'elles sont utilisées (cas des "Yes cards" du système bancaire, par exemple).
Bref, on n'a pas attendu que SSL présente une faille pour mettre en défaut la sécurité des systèmes qui l'utilisent. Par exemple sa mise en oeuvre n'a jamais pu empêcher les virus ni les chevaux de Troie de transiter par les liaisons sécurisées, ni les PC zombies de communiquer par les mêmes moyens.
) et permet à de "gentils pirates" de casser la gentille sécurité (SSL/SSH) de rentrer gentiment dans votre VPN !
