Heartbleed, faille de la décennie

Symbole pour communiquer au sujet de la faille

Titre : Heartbleed, faille de la décennie ? Contre Heartbleed, pour une hygiène des mots de passe !
Intervenants : Jean- Marc Manach - Éric Leblond - Daniel Schneidermann
Lieu : Émission 14h42 - #12
Date : Avril 2014
Durée : 43 min
Visualiser l'émission
Licence de la transcription : Verbatim

Transcription

Daniel Schneidermann : Bonjour et bienvenue dans ce douzième numéro de 14h42. La sécurité de nos achats en ligne, la confidentialité de nos mots de passe, et donc, de toutes nos données, sont-elles menacées, en plus de toutes les autres menaces évidemment par ce qu'on appelle la faille Heartbleed. Depuis quelques semaines, les articles se multiplient dans la presse en ligne, confus, parfois contradictoires, nous laissant dans l’incertitude sur le point de savoir, s'il faut, ou non, changer tous nos mots de passe. Pour une fois Jean-Marc Manach a changé de casquette et a troqué sa casquette d'animateur contre sa merveilleuse casquette d'expert. Mais il faudrait en avoir deux, pour de bon, la prochaine fois pour répondre à toutes les questions qu’on peut se poser sur Heartbleed. Également avec nous Éric Leblond. Vous êtes spécialiste en sécurité du logiciel libre et, par ailleurs, vous avez créé une société dans laquelle vous vendez des prestations de sécurité aux gens, aux sites et aux entreprises qui utilisent le logiciel libre, donc votre avis nous sera particulièrement précieux. Comme il s'agit de parler à tous ceux qui n'ont rien compris, voire pas lu un seul des articles consacrés à Heartbleed, on va essayer de poser, tout au long de cette émission, des questions vraiment basiques ; c'est pour ça qu'on a pris, dans l'équipe, le moins spécialiste imaginable de toutes ces questions et je commence donc par une question extrêmement large, Jean-Marc, Heartbleed, la faille Heartbleed, c'est quoi ? Comment est configurée cette faille ?

Jean-Marc Manach : En fait, c'est une faille dans un logiciel qui s'appelle OpenSSL1, qui est un logiciel qui est utilisé par plusieurs centaines de milliers de serveurs, et qui permet de sécuriser une communication entre votre navigateur et un serveur distant. Et cette faille, en fait, repose sur une extension du logiciel OpenSSL, qui s'appelle Heartbeat, donc le cœur qui bat, d'où le nom qui a été trouvé Heartbleed, le cœur qui saigne, et qui permettait de communiquer, de garder une communication active entre le client et le serveur, entre un ordinateur et le serveur distant.

Daniel Schneidermann : À l'intérieur du logiciel de sécurisation ?

Jean-Marc Manach : Au moment où il y avait une connexion qui se faisait, pour confirmer que la sécurité était bien enclenchée entre les deux ordinateurs, en fait il y a une faille qui existe et qui fait que, normalement l’ordinateur dit : « Dis-moi un mot de quatre lignes », et le serveur envoyait quatre lignes. Sauf que la faille, là, permettait à un attaquant de dire : « Renvoie-moi soixante-quatre kilos de données », et le serveur renvoyait soixante-quatre kilos, alors c'est kilo-octet, ce n'est pas des kilos, mais soixante-quatre kilo-octets de données, ce qui transitait sur le serveur.

Daniel Schneidermann : Trop bête le serveur !

Jean-Marc Manach : Dans ces données il peut y avoir des mots de passe, il peut y avoir des clefs de sécurité, il peut y avoir des cookies de session. C'est un petit fichier qui permet de vous identifier auprès du site que vous visitez et donc, par extension, on peut récupérer des données qui, normalement, n'auraient jamais dues pouvoir être consultées par un tiers.

Daniel Schneidermann : Ce que vous expliquez là a été expliqué magistralement par un dessinateur américain, auteur, dans une petite BD en ligne.

Jean-Marc Manach : XKCD.

Daniel Schneidermann : XKCD2 c'est le nom de son blog. Voilà.

Jean-Marc Manach : Là il explique : « Je te dis patate six lettres » et l'ordinateur, le serveur répond « Patate six lettres » et puis ensuite « Bird quatre lettres », il renvoie « Bird quatre lettres ».

Daniel Schneidermann : Jusque-là ça marche bien.

Jean-Marc Manach : Jusque-là ça marche bien, sauf là il dit : « Renvoie-moi chapeau cinq cents lettres » et là le serveur renvoie chapeau plus cinq cents lettres. Et donc, c'est là où dans ces cinq cents lettres, on peut trouver des données qui, normalement, ne devraient jamais sortir de cette conversation sécurisée entre un client et un serveur.

Daniel Schneidermann : D'accord. Donc si vous voulez tout savoir sur XKCD, Randall Munroe, lire le portrait qu'on vient de publier sur le site. Éric Leblond, évidemment Jean-Marc Manach parle sous votre contrôle, puisque j'ai dit que vous êtes spécialiste.

Jean-Marc Manach : Est-ce que j'ai dit des choses, qui ne sont pas tout à fait exactes ?

Daniel Schneidermann : Dans cette émission, quand on a un expert, on a un contre-expert. Pour l'instant ça va ? Il n'a pas trop dit de bêtises ?

Éric Leblond : Non, non, jusque-là c'est exactement ça. Il n'y a pas de souci.

Daniel Schneidermann : C'est exactement ça. Cette faille, elle existe depuis combien de temps ?

Jean-Marc Manach : En fait, ce qu'on a découvert : c'est donc un chercheur allemand qui, il y a deux ans, a rajouté quelques lignes de code dans OpenSSL. C'est un logiciel libre, donc ça veut dire que tout un chacun - plein de développeurs - contribue au développement de ce logiciel. Et donc, il y a deux ans, il a rajouté une fonctionnalité dans le logiciel et en fait, c'est là où est apparue la faille. C'est-à-dire qu'il a fait une erreur, une erreur triviale, mais personne n'a détectée. C'est-à-dire qu'à l’époque, les responsables du logiciel OpenSSL n'ont pas repéré cette faille de sécurité, personne n'avait repéré, jusqu’à fin mars, je crois, où fin mars il y a eu une première équipe.

Éric Leblond : Le 21 mars, il y a quelqu’un chez Google qui a trouvé de son côté, la faille. Il a fallu faire une étude du code. Quand on lit le code attentivement, la faille est assez facile à trouver, quand on sait ce qu'on cherche.

Daniel Schneidermann : Voilà. C'est ça !

Jean-Marc Manach : C'est trois cent mille lignes de code, quand même, le logiciel.

Éric Leblond : Ils ont regardé, à mon avis, l'implémentation pour voir ce qui se passait.

Daniel Schneidermann : Implémentation ?

Éric Leblond : Implémentation, c'est-à-dire la manière dont le fonctionnement du protocole était décrit en termes de code pour ordinateur.

Daniel Schneidermann : D'accord. Et donc il a trouvé ça le 21 mars.

Éric Leblond : Il a trouvé ça le 21 mars.

Daniel Schneidermann : Il y a plein de choses incroyables dans cette histoire. Il y a le fait que tant d'entreprises, tant de sites, utilisent ce logiciel et que personne n'ait décelé la faille jusqu'à présent.

Jean-Marc Manach : Il faut savoir que, quand ça a été rendu public la semaine dernière, on estime qu'il y a cinq cent mille serveurs qui étaient vulnérables. C’était 11 % des serveurs. Il y a un universitaire qui estime qu'il y avait 11 % des serveurs qui étaient vulnérables le lundi et que, le mercredi, c’était un peu moins de 6 %. Donc il y avait 5 % qui avaient patché, c'est-à-dire qui avaient corrigé le logiciel pour faire de telle sorte qu'on ne puisse pas exploiter la faille.

Daniel Schneidermann : Avant la découverte du 21 mars ?

Jean-Marc Manach : Ah non non.

Daniel Schneidermann : Après.

Jean-Marc Manach : Le 21 mars il y a la découverte. Ensuite, Google corrige la faille sur ses serveurs à lui. Google prévient OpenSSL, les gens responsables du logiciel, qui eux vérifient que la faille existe bien, qui développent un code pour patcher, pour réparer la faille et ils tombent d'accord sur le fait qu'il y ait un embargo jusqu'au 9 avril. Mais dans le même temps, fin mars ou 1er avril, il y a une équipe de finlandais, une entreprise finlandaise qui s’appelle Codenomicon, qui identifie, elle aussi, cette faille, qui prévient l'équivalent du CERT3 finlandais.

Daniel Schneidermann : C'est un hasard si les découvertes, apparemment, surviennent à quelques jours ?

Jean-Marc Manach : Apparemment oui.

Daniel Schneidermann : Alors pendant deux ans, personne ne voit rien et tout d'un coup, en dix jours, ils sont deux à découvrir la faille ? Question. Vous savez, on se méfie de tout dans ces histoires.

Éric Leblond : Je pense qu'il y a une évolution au niveau des mécanismes de détection de ce type de problème de sécurité. On a eu, quand même, un gros historique sur cette fonctionnalité de chiffrement fournie par le protocole SSL4, implémentée notamment dans OpenSSL, qui est donc la victime du jour, et donc on a eu, récemment, Apple qui a eu une jolie erreur de code.

Jean-Marc Manach : GoTo fail.

Éric Leblond : Avec le GoTo fail, voilà.

Jean-Marc Manach : C’est un autre bug.

Éric Leblond : Très, très bête, voilà. Si on a un niveau de complexité cinq sur Heartbleed, on a un niveau de complexité, en termes d'erreur, de niveau un sur celle Apple ; là c'était vraiment une erreur de débutant. Et donc, ce qui ne serait pas étonnant, c'est que je crois que Codenomicon ils travaillent sur des outils d'analyse du code source.

Daniel Schneidermann : Codenomicon c'est le deuxième découvreur ?

Éric Leblond : C'est le deuxième découvreur, oui, et je ne serais pas étonné, eh bien que ça soit dans l'air du temps de chercher ce genre d'erreur, et que ça soit la même chose que Google ait faite, et qui explique un peu la concomitance de la découverte.

Daniel Schneidermann : Pourquoi c’est dans l'air du temps de chercher ce genre d’erreur ?

Jean-Marc Manach : Snowden, entre autres.

Daniel Schneidermann : Ah !

Jean-Marc Manach : Parce que comme on sait, parmi les révélations Snowden, on a découvert, on sait que la NSA dépense énormément d'argent, un, pour installer des back doors, des portes dérobées, des failles de sécurité, dans certains logiciels ; deux, pour identifier des failles de sécurité pour que, eux, puissent les exploiter pour espionner. Et donc il y a un certain nombre de professionnels de la sécurité informatique et de développeurs, notamment de logiciels libres, qui ont entrepris le fait de vérifier le code source de leurs logiciels, pour être sûrs qu'ils ne puissent pas être exploités par la NSA.

Daniel Schneidermann : Donc il y a bien un rapport, enfin, sous réserve de confirmation, l'éventualité d'un lien avec Snowden, c'est clair ?

Jean-Marc Manach : C'est dans l'air du temps. Qu'il y ait un lien avec Snowden, non ! Mais c'est dans l'air du temps, depuis un an maintenant, de renforcer la sécurité des logiciels et la sécurité des infrastructures internet, et des protocoles.

Daniel Schneidermann : Juste, ce logiciel OpenSSL, là, il est monopolistique dans ce qu'il fait, ou il est en concurrence avec d'autres logiciels, pour le coup, qui ne seraient pas libres, qui seraient fermés, qui seraient propriétaires, propriétés d'entreprises ? Ou est-ce qu'il est le seul à faire ce qu'il fait ?

Jean-Marc Manach : Il n'est pas le seul à faire ce qu'il fait. Mais déjà, ce qu'il faut savoir, c'est qu'il y a certaines versions d'OpenSSL qui n'ont pas cette faille. Il y a plein de serveurs qui utilisent une autre version d'OpenSSL qui est plus ancienne, celle d'avant il y a deux ; ceux qui n'ont pas mis à jour le logiciel depuis deux ans, eh bien, il n'y avait pas la faille. Après, je ne sais pas, je vais plutôt demander à Éric quels sont les équivalents libres ou non-libres de OpenSSL.

Éric Leblond : Il y a les implémentations, notamment, dans le langage Java.

Daniel Schneidermann : Ça fait quatre fois que vous dites « implémentation », là je vais craquer.

Éric Leblond : Ah ! Pardon !

Daniel Schneidermann : Oui, il y a donc des ?

Éric Leblond : Il y a donc des versions.

Daniel Schneidermann : Voilà, c'est tellement mieux !

Éric Leblond : Donc des versions qui existent dans beaucoup de langages, en fait, puisque c'est quelque chose d'assez fréquent. OpenSSL est une des plus complètes et, par conséquent, une des plus utilisées, mais on se retrouve avec quelque chose où il y a beaucoup de différentes versions que ce soit en propriétaire ou en open source. Voilà. La problématique, c'est qu'on est sur quelque chose qui est extrêmement complexe puisqu’on a, par exemple, sept cent mille lignes de code, donc sept cent mille lignes écrites.

Jean-Marc Manach : C'est sept cent mille sur OpenSSL ?

Éric Leblond : Sur OpenSSL, oui.

Daniel Schneidermann : Vous aviez dit ?

Jean-Marc Manach : J'avais dit trois cents, oui.

Éric Leblond : Trois cents, oui, oui. C'est à vérifier.

Jean-Marc Manach : C'est plusieurs centaines de milliers de lignes de code.

Daniel Schneidermann : C'est beaucoup.

Éric Leblond : C'est plusieurs centaines de milliers de lignes de code et c'est excessivement complexe.

Daniel Schneidermann : C'est beaucoup. Ces découvreurs finlandais, là, cette boîte, Comecon, c'est ça ?

Jean-Marc Manach : Codenomicon.

Daniel Schneidermann : Codenomicon, c'est qui ?

Jean-Marc Manach : Codenomicon, c'est une boîte qui fait 60 à 70 % de son chiffre d'affaires avec des industriels liés au marché de la défense. Donc il y a des gens qui se demandent s'ils ne sont pas liés aussi, et s'ils ne comptent pas parmi leurs clients le ministre de la Défense américain, ou des services de renseignement et, potentiellement, la NSA, et eux, leur métier, c'est effectivement, eh bien de trouver des failles de sécurité pour arriver à les patcher, pour arriver à les corriger.

Daniel Schneidermann : Attendez, attendez, Jean-Marc, je n'y comprends rien ! Vous me dites « d'un côté Snowden, donc tout le monde se demande s'il n'y a pas des failles dans les logiciels, etc., donc tout le monde cherche.» Maintenant vous me dites « les mecs qui trouvent, c'est justement des gens qui sont peut-être liés… »

Jean-Marc Manach : Qui peuvent avoir pour clients…

Daniel Schneidermann : Qui sont peut-être liés, vous avez dit « qui sont peut-être liés au ministère de la Défense américain ». Alors !

Jean-Marc Manach : Là où j'ai dit qu'ils sont liés, là où je dis qu'ils sont liés, c'est qu'il y a un des principaux responsables de Codenomicon, qui est un Américain - c'est une boîte finlandaise, mais un de ses principaux responsables c'est un Américain - qui se trouve avoir été l'un des principaux responsables de la sécurité informatique sous Georges Bush, sous Obama, et qui était, également, le responsable sécurité informatique de Microsoft ; et qui, maintenant, est parti à la retraite de la fonction publique américaine et qui est advisory board de Codenomicon. Donc, il y a des gens qui ont commencé, comme ça, à se dire, mais c'est bizarre : ce mec-là il vient des Américains, il a bossé avec les présidents, avec Georges Bush, etc., et c'est sa boîte qui trouve la faille. Bon, je n'en sais rien ! Ce que je sais c'est que donc, fin mars/début avril, ils trouvent la faille, ils préviennent le CERT finlandais. Dans chaque pays, il y a un CERT qui est un Computer Emergency Responsive Team, une équipe pour répondre aux problèmes de sécurité informatique, donc ils préviennent le CERT, et ils ont un coup de génie. Ils identifient, donc, ça c’était le samedi, ils se disent « bon ben, si on suit la procédure classique, ça va s'appeler le bug CVE 2014-01 60. Ça, ça ne parle à personne ».

Daniel Schneidermann : Mais si !

Jean-Marc Manach : Donc, ils se disent « on va lui donner un nom de code ». Et comme la faille porte sur une extension qui s'appelle Heartbeat donc, battement de cœur, ils se disent on va appeler ça Heartbleed, le cœur qui saigne. Ils font appel à un designer qui dessine ce logo-là, d'un cœur qui saigne. Ils rachètent le nom de domaine heartbleed.com qui, auparavant, était un forum utilisé par les Émos, vous savez ces gens qui se mettent du maquillage noir et qui sont tout tristes, etc., un peu comme les Cure [Groupe de rock, NdT] dans les années 80. Donc, ils rachètent le nom de domaine, et puis ils font une page web où ils expliquent qu'est-ce que c'est que Heartbleed, qu'est-ce que c'est que cette faille de sécurité, pourquoi est-ce que c'est important, et ils le rendent public le 7 avril dernier.

Daniel Schneidermann : Là on parle toujours de Codenomicon, cette fameuse entreprise ?

Jean-Marc Manach : Cette fameuse entreprise finlandaise.

Daniel Schneidermann : Dirigée par un ancien responsable de la sécurité informatique sous Bush et sous Obama, c'est ça ?

Jean-Marc Manach : Voilà.

Daniel Schneidermann : On parle toujours de cette boîte-là.

Jean-Marc Manach : C'est un coup de pub monumental, pour leur boîte, mais, en même temps c'est un coup de génie d'un point de vue de comm' parce que jamais les médias n'en auraient parlé si c’était resté sous le nom CVE 2014-01 60. Alors que là Heartbleed, tout de suite ça a été repris par la presse informatique aux États-Unis, puis par la presse internationale et, effectivement, les médias, depuis maintenant une dizaine de jours, en parlent quotidiennement.

Daniel Schneidermann : D'accord. Et c'est une boîte qui vend de la sécurité informatique ?

Jean-Marc Manach : Oui.

Daniel Schneidermann : D'où évidemment soupçons. Est-ce que cette boîte qui vend de la sécurité informatique n'a pas tendance à grossir le danger ? Je veux dire plus les gens vont penser que « hou là là, c'est très dangereux, il y a des risques, il y a des trous dans les dispositifs de sécurité, il faut changer tous vos mots de passe, etc. », plus les gens vont penser ça, plus les gens vont acheter de la sécurité informatique. Est-ce qu'il n'y a pas un risque qu'on se laisse manipuler par cette opération de comm', de Codenomicon, autour de Heartbleed ?

Éric Leblond : Il y a quelque chose d'assez intéressant qui s'est produit avec la société qui s'appelle Cloud ?

Jean-Marc Manach : CloudFlare.

Éric Leblond : CloudFlare, voilà, une société qui fournit du service aux États-Unis et qui a lancé un challenge en disant « on pense qu'on n'est pas impacté, notamment, sur une des ressources principales qui est le secret déposé sur le serveur qui permet de garantir la validité de tous les échanges qui ont été faits ». Ils se sont dit ce n'est pas possible que… Ils ont fait une magnifique entrée de blog, très bien détaillée, expliquant pourquoi ce n’était pas possible. Et puis neuf heures après, personne n'avait encore réussi, en utilisant les techniques qui avaient été dévoilées pour utiliser l'attaque, n'avait encore réussi à récupérer ce secret. Et puis donc ils ont dit : « Vous avez vu, ça ne marche pas ». Très bien. Et puis là ils ont fait une légère erreur, c'est dans leur blog, erreur de manipulation, ils ont redémarré le service qui fait fonctionner le système et là, ça a entraîné la possibilité de le faire. C'est-à-dire qu'il y avait un effet de bord auquel ils n'avaient pas pensé.

Daniel Schneidermann : D'accord.

Éric Leblond : Qui a permis à des attaquants d'accéder à la ressource la plus secrète du serveur.

Daniel Schneidermann : Alors ça ça ne répond pas à ma question : « est-ce qu'il n'y a pas un risque qu'on se fasse tous un peu manipuler par cette fameuse boîte Codenomicon, là, qui a un intérêt objectif à exagérer le danger ? »

Éric Leblond : Non. Si on récupère, si cette ressource a été récupérée.

Daniel Schneidermann : Cette ressource ? C'est-à-dire ?

Éric Leblond : Le secret du serveur, disons, ce qu'on appelle la clef privée du serveur, pour parler techniquement. Donc cette clef privée, en fait, si on la récupère, on peut déchiffrer l’intégralité du trafic qui a été émis par le serveur, sauf conditions spécifiques d'implémentation. Je retire !

Daniel Schneidermann : C'est bien, vous vous êtes repris.

Éric Leblond : Il faut que j’arrête. Et donc c'est possible de récupérer cet élément clef, d'arriver donc à déchiffrer le trafic qui s'est produit sur le serveur, qu'on aurait pu capturer avant, donc ça veut dire qu'on peut remettre en jeu l'intégralité de la confidentialité.

Daniel Schneidermann : D'accord. Ce que vous êtes en train de nous dire c'est que c'est, effectivement, dangereux.

Éric Leblond : C'est effectivement très dangereux.

Daniel Schneidermann : D'accord, en même temps, excusez-moi, ce n'est pas contre vous, mais vous aussi vous êtes quelqu'un qui, d'une certaine manière, vend de la sécurité informatique.

Éric Leblond : Oui, bien sûr.

Daniel Schneidermann : Donc, ça parait logique que disiez ça. Et je pose la question à Jean-Marc qui, lui, ne vend pas de la sécurité informatique, enfin pas que je sache !

Jean-Marc Manach : Non.

Daniel Schneidermann : Non, voilà. Est-ce que ce risque existe ? Est-ce qu'il peut arriver que des consultants en sécurité, des entreprises qui vendent de la sécurité, grossissent ?

Jean-Marc Manach : Ce sont des pratiques qui ont existé dans les années 90. Mais là, ce qu'il faut bien comprendre, c'est qu'on parle d'un logiciel libre. Donc ce n'est pas un fonctionnement marchand comme un logiciel propriétaire.

Daniel Schneidermann : En tout cas il y a toujours des marchands derrière !

Jean-Marc Manach : Certes.

Daniel Schneidermann : Il y a des gens qui l’entretiennent, qui le mettent à jour.

Jean-Marc Manach : Mais ce n'est pas une stratégie publicitaire, au sens où il y a réellement un problème. Pour expliquer un petit peu différemment, Bruce Schneier, qui est une des autorités en matière de sécurité informatique, le premier jour il dit : « Sur une échelle de un à dix, on est à onze. » Donc là, effectivement effet de panique.

Daniel Schneidermann : Et lui, il ne vend rien lui, Bruce Schneier ?

Jean-Marc Manach : Si, il bosse aussi dans la sécurité informatique.

Rire de Daniel Schneidermann

Daniel Schneidermann : Ah ! Pas de bol.

Jean-Marc Manach : Je vais donner un autre exemple, Tor, la fondation Tor, qui elle ne vend rien, son logiciel c'est gratuit, qui est très utilisé, notamment depuis les révélations Snowden, eux, sur leur blog, ils expliquent : « Si vous voulez vraiment être en sécurité sur Internet, ne venez pas sur Internet pendant quelques jours, faites autre chose, mais ne vous connectez pas à Internet, en tout cas en utilisant des logins/mots de passe, des choses sécurisées, parce qu'il faut quelques jours pour qu'on arrive à mesurer l'ampleur du problème ». Quelques jours après, Bruce Schneier revient en disant : « En fait, là on est petit peu dans une configuration, un petit peu comme avec le bug de l'an 2000. C'est-à-dire que potentiellement ça peut avoir des effets catastrophiques, colossaux, sauf que concrètement, on est en train d'essayer de savoir si oui ou non ça a été exploité depuis deux ans, parce que si réellement ça a été exploité depuis deux ans c'est catastrophique. Si personne n'a exploité la faille depuis deux ans, c'est beaucoup moins catastrophique parce que, concrètement, là si on prend combien d’entreprises, combien de sites web ont demandé à leurs utilisateurs de changer de mot de passe parce qu'il y a eu risque. »

Daniel Schneidermann : Juste, Jean-Marc, sur cette question est-ce qu'on peut savoir si la faille a été exploitée depuis deux ans, ou pas ?

Jean-Marc Manach : Pour l'instant les gens qui ont commencé à chercher, un travail de police, presque d'expert de la police technique et scientifique - il faut rechercher dans les archives - pour l'instant on n'a pas trouvé. Il y a eu deux traces qui ont été trouvées, mais une c'est ce qu'on appelle un faux positif, c'est-à-dire ça ressemble à une exploitation de la faille, mais ce n’était pas une exploitation de la faille et l'autre, on en parlait tout à l'heure, c’était un cas. Enfin, il y a une transaction.

Éric Leblond : Une fois. Sachant que dans le cas dont je parlais tout à l'heure de CloudFlare, il a fallu trois cent mille essais pour arriver à récupérer la donnée secrète.

Jean-Marc Manach : Là on a trouvé un essai.

Éric Leblond : On a trouvé un essai. Ce n'est pas, donc, une exploitation massive qui a été prouvée par cet échantillon qui a été trouvé.

Jean-Marc Manach : Donc. si ça a été exploité depuis deux ans, c'est catastrophique. Si ça n’est exploitable que depuis la semaine dernière, sachant que la majeure parties des sites web ont patché dans les heures qui ont suivi la révélation du bug, ont mis à jour leur logiciel pour empêcher l'exploitation, c'est moins catastrophique. Aujourd’hui, il y a deux cas avérés d'exploitation de données où il y a des informations sensibles qui ont fuité. Il y a une autorité administrative, au Canada, qui a reconnu que neuf cents numéros d'assurance sociale de leurs utilisateurs avaient été volés, en exploitant cette faille de sécurité. Donc l’administration canadienne s'est engagée à leur écrire par courrier papier, pour ne pas passer par Internet, à changer leur mot de passe, et à leur fournir des systèmes d'assurance en cas d'exploitation de leur numéro d'assuré social. Et sinon on a, ce matin, un forum utilisé par un million cinq cent mille personnes en Grande-Bretagne, qui est un forum de mamans, qui, lui aussi, pendant quelques heures, a été exploitable. On ne sait pas encore combien de données.

Daniel Schneidermann : Exploitable, mais pas forcément exploité.

Jean-Marc Manach : Si. Il y a une faille de sécurité qui a été exploitée, maintenant on ne sait pas encore, sur les 1,5 millions d'utilisateurs, combien de mots de passe ont été compromis. On a également le cas de Darty, où on sait que Darty, pendant 48 heures, son site web de commerce électronique était vulnérable. Darty a contacté les utilisateurs de ses services, les clients qui auraient vu potentiellement leurs données sensibles siphonnées par des assaillants, mais on ne sait pas combien sont contactés. Donc là on est encore en gestion de crise. On ne sait pas encore combien de personnes ont vu leurs données siphonnées.

Daniel Schneidermann : D'accord. Mais alors du coup, moi internaute, qui ai un compte sur Darty éventuellement, sur PriceMinister, sur Le Bon coin ou sur le site du Monde, etc., quels sont les moyens que j'ai de savoir si les sites sur lesquels je vais sont affectés ou pas ?

Jean-Marc Manach : Il existe plusieurs serveurs, enfin plusieurs sites web, qui permettent de vérifier si la faille existe. Vous rentrez Heartbleed test, vous rentrez le nom du site web qui vous intéresse, vous appuyez sur le bouton Go, et ensuite il va vous dire si, oui ou non, le serveur est vulnérable à cette faille de sécurité.

Daniel Schneidermann : Pour nos abonnés, le site sur lequel il faut aller c'est celui-là, c'est Heartbleed test ?

Jean-Marc Manach : Il y en a cinq ou six.

Daniel Schneidermann : Le meilleur c'est lequel ?

Jean-Marc Manach : Le meilleur c'est celui de Qualys qui s'appelle SSL ?

Éric Leblond : SSL Labs.

Jean-Marc Manach : SSL Labs5, c'est le plus complet.

Daniel Schneidermann : SSL Labs point ? Point quoi ?

Jean-Marc Manach : Point com, je pense, mais vous tapez SSL Labs dans un moteur de recherche, il va vous renvoyer vers ce serveur-là.

Daniel Schneidermann : De toutes façons, on va vous donner la liste de ces sites sur l'article accompagnant l'émission.

Jean-Marc Manach : C'est le plus complet. Sachant que, sur ce serveur, ça va vous dire si aujourd'hui il est vulnérable ou pas. Sauf que le problème, typiquement on prend le cas de Yahoo ou de Darty, aujourd'hui on va vous dire que le serveur n'est plus vulnérable, sauf qu'il l'a été.

Éric Leblond : Si on prend le cas du problème qu'il y a eu au Canada, ils ont été vulnérables, enfin, entre l'annonce publique de la faille et le fait qu'il aient patché et donc fixé le problème sur leur système, il s'est passé six heures. Et les six heures ont suffit à ce qu'il y ait des données exploitées.

Daniel Schneidermann : Ils ont quand même réagi très, très vite.

Éric Leblond : Ils ont réagi très, très vite, il n'y a rien à dire là-dessus. Il ont réagi très vite. Ils ont réussi à trouver qu'il y avait, effectivement, une fuite de données qui avait été faite. Mais l’une de problématiques de cette faille, c'est qu'elle ne laisse pas de traces. Il y a beaucoup d'attaques où, lorsqu’on fait l'attaque, on a tout de suite une trace qui est laissée. Mais celle-ci se passe de telle manière que lorsqu'on a vu descendre de XKCD, tout à l'heure, on récupère l'intégralité des données, eh bien on est en plein milieu des transferts du protocole et des échanges et donc, par conséquent, c'est tout à fait normal.

Daniel Schneidermann : Alors si elle ne laisse pas de traces comment on peut savoir que ce fameux site canadien, par exemple, a été infecté ?

Éric Leblond : On peut faire a posteriori, savoir, regarder l'intégralité des échanges du protocole. C'est-à-dire tout ce qui a été transité sur votre lien internet en direction de ce serveur-là, on peut le stocker, et après dire « maintenant je vais faire une étude a posteriori, maintenant que je sais qu'il y a la faille, et je vais chercher les motifs qui correspondent à cette faille et faire une alarme derrière».

Daniel Schneidermann : OK. Donc elle laisse quand même des traces ?

Éric Leblond : Elle laisse des traces.

Jean-Marc Manach : Ça dépend si vous avez une caméra de surveillance ou pas.

Éric Leblond : Exactement. Si on a fait la démarche de tout stocker ce qui passait, peu vraisemblable, parce que ça veut dire qu'on a stocké l'intégralité des échanges qui ont transité sur le serveur depuis des mois, depuis deux ans, quasiment, il faudrait garder pour savoir si on été impacté ou pas. Il y a très peu de sociétés ou d'organismes qui peuvent se permettre ça.

Daniel Schneidermann : Et alors, les cinq ou six sites, Jean-Marc, dont vous parliez, qui vont me permettre à moi, internaute, de savoir si mes sites préférés sont infectés ou pas, eux, comment ils le savent ? C'est-à-dire eux, ils sont allés chercher eux-mêmes dans les sites de la SSL point, ou je ne sais quoi ?

Jean-Marc Manach : Non, quand la faille a été rendue publique, tout de suite il y a des développeurs qui ont fait ce qu’on appelle, un proof of concept. Proof of concept c'est : ils ont développé un petit script qui permet de tester un serveur pour savoir est-ce que ce serveur-là, la faille marche ou pas. Et donc, les sites web en question ont fait un front-end, ont développé une page web qui permet de lancer ce script sur les sites web qui nous intéressent, et donc de vérifier si, oui ou non, la faille existe, si elle a été patchée. Et donc concrètement, pour répondre à votre question, ce qu'il faut faire, c'est lire la presse, c'est se renseigner auprès des sites web en question, éventuellement les contacter, contacter les services clients pour savoir si, oui ou non, il faut changer les mots de passe.

Daniel Schneidermann : Oui. Mais enfin aujourd’hui, je peux imaginer qu'ils vont avoir tendance à être plutôt rassurants et à me dire : « Oui, oui, tout va bien. »

Jean-Marc Manach : C'est ce qu'on constate au niveau des banques, en France, qui sont très rassurantes. Pour l'instant les seuls qui ont communiqué ouvertement en disant : « Changez vos mots de passe », ce sont les utilisateurs de Wikipédia, les contributeurs de Wikipédia, donc ceux qui se connectent sur Wikipédia avec un login et un mot de passe. Là, Wikipédia leur demande de changer de mot de passe. C'est Tumblr, c'est Yahoo, je crois, non Yahoo était faillible, mais Yahoo n'a pas demandé. Il y a quelques sites, il y a une dizaine de sites, qui ont enjoint leurs utilisateurs de changer les mots de passe, une dizaine sur les cinq cent mille serveurs qui étaient initialement vulnérables.

Daniel Schneidermann : Pour prendre un exemple très concret, Gmail ?

Éric Leblond : Ça, c'est un bon cas.

Jean-Marc Manach : C'est un bon cas.

Éric Leblond : Parce que c'est eux qui ont découvert la faille le 21 mars.

Daniel Schneidermann : Oui.

Éric Leblond : Ils ont eu le temps de se préparer, ils ont eu le temps de se dire que personne n'avait trouvé avant, ou personne n'avait exploité. Je ne comprends pas comment ils ont acquis cette certitude que ça n'a pas été exploité. Ou alors, ils ont des mécanismes de stockage des traces, comme je l’évoquais tout à l'heure, pour arriver après à faire de l'a posteriori.

Daniel Schneidermann : Ils ont patché ?

Éric Leblond : Ils ont patché tout de suite. Ils ont patché le 21 mars.

Daniel Schneidermann : Ils disent avoir patché !

Éric Leblond : Non, non, ils ont patché, c’est sûr.

Daniel Schneidermann : C'est sûr ?

Éric Leblond : Le 21 mars c'était déjà patché chez eux d'après ce qu'ils annoncent et, forcément, au moment de l'annonce, au moment où l'annonce a été faite publique, c'était déjà patché.

Jean-Marc Manach : C'était le 7 avril que ça a été rendu public, donc on a eu. Bon ! J'ai envie de dire que là où c'est un très bon cas d’école également Google, c'est que, on va dire que, par principe de précaution, comme la faille existait depuis deux ans, eh bien oui, a priori, sur les serveurs sensibles, typiquement Gmail ou en tout cas tous les serveurs de mails, eh bien oui, il faudrait changer le mot de passe, par mesure de précaution, parce qu'on ne sait pas. Parce que si, effectivement, la faille a été exploitée, ça veut dire que, potentiellement, votre mot de passe a pu être rendu en clair, auprès de l'assaillant. Donc on n'a pas de preuves, pour l'instant, que ça a été exploité, mais, dans le doute !

Daniel Schneidermann : D'accord. Le dernier aspect de toute cette affaire c'est que ça pose des questions sur le logiciel libre. Déjà, on découvre à l'occasion de cette affaire que, on va dire, une bonne partie du commerce mondial, du développement du commerce en ligne, repose, notamment, sur un logiciel libre. C'est-à-dire sur quelque chose qui a été créé par des bénévoles, par des gens qui n'en ont tiré aucun revenu. Sauf si, après, ils ont créé des boîtes pour, effectivement, j'allais dire, implémenter - vous voyez, c'est contagieux - pour customiser ces logiciels chez des clients, etc., mais je veux dire, on découvre l'importance, y compris dans l'univers marchand, du logiciel libre.

Jean-Marc Manach : Ça pose plein de questions sur le logiciel libre, mais c'est très intéressant, parce que, si ce n’était pas un logiciel libre, on n'aurait pas trouvé la faille. Ça c'est la première chose. Ça ne veut pas dire qu'elle n'aurait pas pu être exploitée. On n'aurait pas pu trouver la faille aussi facilement.

Éric Leblond : Aussi facilement, je suis d’accord là.

Jean-Marc Manach : On peut trouver des failles dans des logiciels propriétaires.

Daniel Schneidermann : Eh bien oui. J'imagine qu'il y a des gens qui sont payés pour ça, pour chercher les failles.

Jean-Marc Manach : Bien sûr, il y a énormément de failles dans les logiciels Microsoft, certaines ne sont pas forcément patchées, d'autres sont patchées relativement rapidement. Mais là, l’avantage, c'est que comme le code source est disponible, on peut le vérifier, et c'est ce pourquoi, d'ailleurs, la vulnérabilité a été identifiée par Codenomicon et par l'ingénieur de Google. Après, il y a eu un texte qui était très intéressant, qui a été fait, qui a été écrit par un des responsables d'OpenSSL, donc le logiciel où il y a la faille Heartbleed et qui disait : « Non mais attendez ! Nous, on vous fournit gratuitement un logiciel de sécurité, qui est utilisé par des centaines de milliers d'utilisateurs, vous ne payez pas pour l'utiliser, et après vous dites que c'est de notre faute si on a mis vos utilisateurs en défaut. Mais non, c'est vous, qui avez énormément d'argent, qui gagnez de l'argent grâce à notre logiciel, eh bien contribuez ! Donnez-nous des développeurs, donnez-nous un peu d'argent pour que nous, on puisse recruter des développeurs ». Il faut savoir qu'OpenSSL c'est un employé à plein temps.

Éric Leblond : C'est une fondation, américaine je crois, je n’ai pas vérifié, américaine je pense, où ils n'ont jamais dépassé le million de dollars de revenu annuel.

Daniel Schneidermann : Et un employé à plein temps, OpenSSL.

Éric Leblond : Un employé à plein temps et quelques contributeurs.

Daniel Schneidermann : OpenSSL, qui est une de, enfin je veux dire, qui est un des piliers.

Jean-Marc Manach : C'est le fameux « https », c'est une des composantes du fameux « https », qui permet de sécuriser la communication entre un navigateur web et un serveur distant.

Éric Leblond : C'est peut-être 70 %. C'est une bibliothèque qui prend en compte 70 % des trafics chiffrés sur Internet.

Daniel Schneidermann : D'accord ! Et ça, c'est une personne à plein temps ?

Éric Leblond : C'est une personne à plein temps, quatre contributeurs majeurs et des contributeurs externes, plus réduits. Comme la personne qui a introduit le bug en 2011.

Jean-Marc Manach : Qui était un chercheur en sécurité informatique, allemand, qui lui, il a été soupçonné de malveillance. Il a dit : « Non, j'ai fait une erreur triviale, que personne n'a vue, je suis vraiment désolé, mais bon ! Ça peut vraiment arriver ! » Et donc, là où c'est très intéressant, c'est que, d'un côté, ça montre l'importance de pouvoir accéder au code source, et de l'autre, ça montre également le fait qu'il y a énormément de personnes, d'entreprises, notamment des administrations, qui vont se servir de cette bibliothèque, enfin de ce logiciel. Là on a le cas avec OpenSSL, mais on aura peut-être le cas avec d'autres logiciels, mais qui ne reversent pas au pot commun. C'est-à-dire que le principe du logiciel libre, c'est le principe du partage. On partage les codes sources, on vous permet d'utiliser gratuitement le logiciel, mais la contrepartie c'est : aidez-nous à améliorer ce logiciel.

Daniel Schneidermann : Par des dons ?

Jean-Marc Manach : Ça peut être des dons, ça peut être le fait de financer des développeurs OpenSSL, enfin OpenSSL ou autres, pour implémenter, customiser, développer in situ, pour tel ou tel logiciel ou tel ou tel serveur. C'est le principe du don contre don. Et là on s'aperçoit qu'il y a une différence colossale entre le nombre d'utilisateurs professionnels et le nombre de contributeurs qui sont financés pour améliorer le code. Donc c'est là où c'est, en même temps, une très bonne nouvelle, parce que, potentiellement, suite aux révélations Snowden, il y a énormément d'entreprises, de chercheurs, de militants, qui ont commencé à revoir les codes sources des logiciels utilisés en matière de sécurité informatique, pour les renforcer, pour voir s'il n'y avait pas de faille de sécurité. Là, avec Heartbleed, et toute la médiatisation et la panique qu'il y a eu autour de cette faille-là, on peut raisonnablement estimer qu'il va y avoir des efforts, encore plus accrus, de vérification de l'intégrité des codes sources des logiciels libres utilisés en matière de sécurité informatique et donc, ça va dans le bon sens.

Daniel Schneidermann : Oui. Et d'une manière générale sur le logiciel libre ?

Éric Leblond : Sur le logiciel libre, il y a, effectivement, un énorme problème de différence entre les utilisateurs et les contributeurs et, en fait, si je reprends les propos d'un industriel qui m'avaient beaucoup énervé à l'époque, un industriel français qui parlait de commodité, voilà.

Jean-Marc Manach : Le logiciel libre c’était une commodité ?

Éric Leblond : Le Logiciel Libre est une commodité. J'ai trouvé ça assez révélateur. C’est-à-dire c'est un truc qu'on peut utiliser, ça existe dans la nature, comme l'air quoi ! On peut le prendre et c'est bon ! Et sans considérer que ça soit un bien commun, en fait. Et cette notion de bien commun, pour moi, elle est essentielle. C'est dire « j'ai trente mille serveurs qui tournent et qui utilisent les bibliothèques OpenSSL pour valider ma sécurité, pour mettre en œuvre ma sécurité, pourquoi est-ce que je ne consacrerais pas dix mille euros ? » Vous prenez cinq cents boîtes qui font ça, on se retrouve à cinq millions d'euros.

Daniel Schneidermann : Oui, oui.

Éric Leblond : Un financement qui permet d’assurer une bonne qualité du produit.

Jean-Marc Manach : Il faut savoir qu'on vient de très loin en matière de sécurité informatique. Parce que si on prend l'exemple de Microsoft, Microsoft, il a fallu attendre le début - je parle sous votre contrôle - le début des années 2000, pour que, réellement, Microsoft mette l'accent sur son département sécurité, parce que, dans les années 90, il y a énormément de gens qui ont eu des virus sur leur ordinateur Windows - vu que la majeure partie des ordinateurs sont sous Windows. Et donc, il y a eu toute une campagne violente contre Microsoft en disant : « Mais c'est intolérable que vous laissiez, comme ça, des virus se propager sans mettre vraiment des kits dédiés à la sécurité ». Il a fallu attendre donc, le début des années 2000, pour que la sécurité devienne un des cœurs de métier de Microsoft. Jusque là c'était, effectivement, voilà, c'est peanuts, ce n'est pas grave, ce n'est pas fondamental. Et ça a été le cas en France. Pendant des années, en France, le mot hacker était assimilé à pirate informatique. Il a fallu attendre la montée en puissance de l'ANSSI et la fin des années 2000.

Daniel Schneidermann : L'ANSSI ?

Jean-Marc Manach : L'ANSSI qui est l’Agence nationale de la sécurité des systèmes d'information, qui est en charge de la cyberdéfense en France. Il a fallu attendre, donc, la fin des années 2000 pour qu'on ait un festival de hackers en France, pour que le mot hacker, en France, soit moins diabolisé, et qu'on commence à mettre en avant les métiers de sécurité informatique, les filières de recrutement de sécurité informatique. Mais on a tellement de retard, en France, comparé à d’autres pays, qu'aujourd'hui il y a plein de boîtes françaises qui sont obligées d'aller recruter des ingénieurs ou des spécialistes de sécurité à l'étranger, parce qu'on n'a pas formé suffisamment de professionnels de la sécurité informatique, en France. Ce n'est pas que en France, c'est au niveau mondial, c'est pour ça que je parlais de Microsoft. Mais on a une vision de la sécurité informatique qui a été, pendant très longtemps, complètement biaisée, à la fois dans les médias, du côté des responsables informatiques ou des responsables d'entreprises et, pendant très longtemps, c'est clair que la sécurité informatique c’était comme les ingénieurs informaticiens. C'est la personne qui répare les claviers. Ce n'est pas quelque chose d'important, sauf que, si la sécurité n'est pas au cœur du commerce électronique, de l’administration, eh bien, en cas de faille de sécurité, ça peut avoir des effets catastrophiques.

Daniel Schneidermann : D’accord. Écoutez, vous avez été parfaitement clairs tous les deux. Je vois à mon formidable chronomètre qu'il nous reste dix minutes, ce qui est bien la preuve qu'on a tous été très synthétiques sur ce plateau. Je voudrais, si vous êtes d'accord, qu'on utilise ces dix minutes à faire de la pédagogie très concrète pour les internautes qui vont chercher à savoir si tel site qu'ils fréquentent a été infecté par Heartbleed, ou pas. Je ne sais si, en régie, François Rose et Vincent Coquaz vont pouvoir aller se brancher sur un des sites de vérification dont vous nous avez donné le nom. Alors qu'est-ce qu’on leur conseille ?

Jean-Marc Manach : SSL Labs.

Daniel Schneidermann : Pour que ce soit le plus rapide.

Jean-Marc Manach : Ah, le plus rapide ! Ce n'est pas la même chose.

Daniel Schneidermann : Il reste dix minutes

Jean-Marc Manach : Il y a filippo.io qui était un des premiers.

Daniel Schneidermann : Un conseil.

Jean-Marc Manach : Filippo.io, qui était un des premiers. On peut aller sur SSL Labs.

Daniel Schneidermann : SSL Labs.

Jean-Marc Manach : Là, on va sur SSL Labs, à droite « testez votre serveur ».

Daniel Schneidermann : Voilà, ici, très bien.

Daniel Schneidermann : Là on rentre.

Daniel Schneidermann : Moi, je veux savoir, par exemple. on va prendre le site le plus fréquenté par les Français.

Jean-Marc Manach : arretsurimages.net

Daniel Schneidermann : Juste après Arrêt sur images, il y a Le Bon Coin.

Jean-Marc Manach : D'accord. Donc Le Bon Coin.

Daniel Schneidermann : Je veux savoir si Le Bon Coin est infecté. Alors qu'est-ce qu'on fait là ? On arrive là, on arrive sur cette page-là, on fait quoi ?

Jean-Marc Manach : L'un des deux.

Daniel Schneidermann : On choisit ?

Jean-Marc Manach : Ça marque unable to connect a server, donc pas possible de se connecter au serveur, pourquoi ? Parce qu'il n'y a pas de https quand on se connecte sur Le Bon Coin.

Daniel Schneidermann : Attendez, là donc il y a deux numéros.

Jean-Marc Manach : Là, il y a les adresses IP.

Daniel Schneidermann : Il y a deux adresses IP, la une et la deux. On va indifféremment sur chacune des deux, c'est la même chose ? Alors quand vous avez cette réponse, en dessous, enable to connect to server, ça veut dire quoi ?

Jean-Marc Manach : Ça veut dire qu'on ne peut pas se connecter de façon SSL au Bon Coin.

Daniel Schneidermann : Ça veut dire qu'il n'y a aucun risque que ce soit infecté. C'est bien ça ?

Jean-Marc Manach : Oui, mais ça veut dire que quand vous vous connectez au Bon Coin, votre login et votre mot de passe circulent en clair.

Daniel Schneidermann : Ah oui !

Éric Leblond : Ou qu'ils utilisent un autre sous-domaine pour faire la négociation du login/mot de passe.

Jean-Marc Manach : C'est possible aussi. Il faudrait se connecter sur Le Bon Coin.

Daniel Schneidermann : En clair ça veut dire quoi ? Ça veut dire que c'est menacé aussi, ou pas ?

Éric Leblond : Non. Ça veut dire, logiquement, s'ils ne l'ont pas, vous êtes encore plus encore exposé que s'il y avait la faille. Ça c'est déjà le premier point.

Daniel Schneidermann : Ah bon ! Mais là, je n'ai pas de moyen de le savoir, par exemple, sur le Bon coin.

Éric Leblond : Ah, si si! En fait, ce qu'il faudrait faire, c'est se connecter sur Le Bon coin, ça sera trop long, je pense, ça serait se connecter sur Le Bon Coin, essayer de se connecter, et puis de voir quelle page il a ouvert derrière, de manière cachée, donc c'est un peu trop compliqué.

Daniel Schneidermann : Non, Vincent ce n'est pas la peine, on n'y arrivera pas. Un autre site, je ne sais moi, la SNCF ?

Éric Leblond : Par exemple.

Daniel Schneidermann : La SNCF, toujours en retournant…

Jean-Marc Manach : Sauf que voyage-sncf.com, sur SSL Labs.

Daniel Schneidermann : Toujours en retournant sur SSL Labs. Ce qui est notre site de vérification recommandé, certifié, par Jean-Marc Manach.

Jean-Marc Manach : Ce n'est pas par moi, c'est connu.

Jean-Marc Manach : Pardon !

Jean-Marc Manach : voyage-sncf.com.

Daniel Schneidermann : voyage-sncf.com. On va y arriver.

Jean-Marc Manach : Là c'est marqué sncf-voyages.com Ça ne va pas le faire.

Daniel Schneidermann : Non, ça ne va pas le faire. On repend voyages au pluriel, tiret sncf.com.

Jean-Marc Manach : Ça c'est du live !

Daniel Schneidermann : On est totalement en live. Donc voyages-sncf.com. Voilà, parfait. Allons-y. Alors là, il va indifféremment sur les trois adresses IP qui sont proposées ?

Jean-Marc Manach : En fait, c'est parce que quand il y a des serveurs qui sont très sollicités, ils utilisent, ils dupliquent, sur différents serveurs, le trafic pour éviter les pannes.

Daniel Schneidermann : D'accord. Mais Jean-marc, moi, utilisateur, qui veux savoir si voyages-sncf.com est infecté, ou pas, je vais sur laquelle des trois propositions ?

Éric Leblond : En fait, les trois propositions ne fonctionnent pas, c'est ça la réponse. Vous êtes vraiment très doué, il faudrait vous faire faire de la qualité logiciel, vous trouvez des très bons exemples où ça ne fonctionne pas.

Daniel Schneidermann : Ça doit être un don !

Éric Leblond : En tout cas, ce n'est pas un bon exemple, ils ont sous-traités une partie de leur trafic chez Akamai.

Daniel Schneidermann : Ça veut dire quoi ?

Jean-Marc Manach : Ça veut dire que là, concrètement, on ne sait pas. On ne peut pas savoir.

Daniel Schneidermann : Là, concrètement, on ne sait pas. Ça c'est du français. Une autre proposition ?

Jean-Marc Manach : Eh bien yahoo.fr. Vu qu'on a eu le cas avec yahoo.fr.

Daniel Schneidermann : yahoo.fr

Jean-Marc Manach : Ou yahoo.com.

Daniel Schneidermann : yahoo.fr ou yahoo.com, à vous de choisir. C'est la même chose ? Enfin, je veux dire, les risques ?

Jean-Marc Manach : Là où c'est compliqué, c'est Éric qui avait raison tout à l'heure, c'est, qu'en fait, quand on se connecte sur le webmail de Yahoo, je ne sais pas sur quel… Très bon exemple. Là on voit, la première adresse, c'est w2.rc.vip.ird.yahoo.com.

Daniel Schneidermann : Ça veut dire quoi ?

Jean-Marc Manach : En fait, c'est le véritable nom. Nous, on voit un yahoo.com mais, en fait, le nom qui circule, le DNS qui circule sur les réseaux, est plus complexe que ça. Le problème c'est que, quand on se connecte sur le webmail de Yahoo, si ça se trouve, ça va être mail.yahoo.com, qui n'est pas la même adresse que yahoo.com. Ou ça va peut-être être webmail.yahoo.com. Donc, c'est là où ça devient compliqué.

Daniel Schneidermann : Attendez, je suis désolé Jean-Marc. Je reviens sur yahoo.com. Si je suis logué, si j'ai un identifiant et un mot de passe sur yahoo.com, est-ce que là, j'ai un moyen de savoir si je dois changer mon mot de passe ?

Éric Leblond : On a un moyen de savoir s'ils sont vulnérables à la faille.

Daniel Schneidermann : Alors comment on fait ?

Éric Leblond : Il faut attendre.

Jean-Marc Manach : Eh bien là, ils disent Wait. Il est en train de charger.

Daniel Schneidermann : Il est en train de charger.

Éric Leblond : En fait, les test réalisés par SSL Labs sont assez longs. Ah, donc là, on a un échec.

Jean-Marc Manach : Il y a un échec encore.

Jean-Marc Manach : Il y a un échec. On revient en arrière. On va essayer autre chose.

Daniel Schneidermann : Un échec, ça veut dire que ?

Jean-Marc Manach : No secure protocols supported.

Daniel Schneidermann : Ce qui veut dire ?

Jean-Marc Manach : Ça veut dire que là il n'y a pas de protocole, sur ce domaine-là, il n'y a pas de protocole, sauf que ce qui ne veut pas dire que la connexion à Yahoo n'est pas chiffrée, puisque Yahoo a annoncé, récemment, qu'ils allaient chiffrer le fait de se connecter au webmail ; mais c'est juste que le webmail de Yahoo, ce n'est pas yahoo.fr, c'est peut-être mail.yahoo.fr. Donc là c'est une liste.

Daniel Schneidermann : C'est quoi cette liste ?

Éric Leblond : Mais il n'y a pas de point fr, elle serait vulnérable.

Daniel Schneidermann : Scoop sur Arrêt sur images, le nom de Mediapart…

Jean-Marc Manach : Est-ce qu'on peut essayer sur SSL Labs mediapart.fr

Daniel Schneidermann : Alors mediapart.fr. Si on détecte qu'ils sont vulnérables ils vont nous faire la gueule, ou nous remercier. Alors, là suspense insoutenable.

Jean-Marc Manach : Alors là, on voit please wait. En attendant que le rapport arrive, ce qu'il faut savoir c'est que, pour savoir si effectivement un site est vulnérable ou pas, déjà, effectivement, il faut lire la presse, il faut se renseigner, éventuellement, auprès des services clients, les contacter. On peut essayer avec ça, mais ça ne marche pas forcément sur tous les sites web, on vient de le voir

Daniel Schneidermann : C'est ce qu'on vient de voir, oui.

Jean-Marc Manach : Après, principe de précaution. De toutes façons, un truc qu'il faut bien comprendre, c'est que, normalement un mot de passe, il faut idéalement, dans le meilleur des mondes, il faut en changer tous les trois mois. Depuis combien de temps vous n'avez pas changé vos mots de passe ?

Daniel Schneidermann : Vingt-huit ans, à peu près.

Jean-Marc Manach : Nous sommes d'accord ! Donc c'est peut-être le bon moment, pour avoir une bonne hygiène du mot de passe, à savoir changer de temps en temps de mot de passe et apprendre à choisir des bons mots de passe.

Daniel Schneidermann : Vous dites tous les combien ?

Jean-Marc Manach : Ça fait des années qu'il y a des gens qui disent tous les trois mois. Pourquoi ? Je réponds.

Daniel Schneidermann : Jean-Marc. Il faut être réaliste, c'est une galère.

Jean-Marc Manach : Alors là on voit que Mediapart, le serveur de Mediapart n'est pas vulnérable. Il l'a peut-être été, mais aujourd'hui…

Daniel Schneidermann : A quoi on le voit ?

Jean-Marc Manach : C'est marqué.

Daniel Schneidermann : Ah D'accord. C'est dans la bande verte qui est en bas de l'écran. D'accord, il n'est pas vulnérable.

Jean-Marc Manach : Qui serait rouge s'il était vulnérable.

Daniel Schneidermann : Et comment ça se fait, alors, que le nom de Mediapart apparaissait dans la liste, tout à l'heure ?

Jean-Marc Manach : Parce qu'il l'a peut-être été, au moment où la liste a été publiée. Ce n'est pas une liste qui est en temps réel. Ça, c'est une liste qui a été faite la semaine dernière. Et donc visiblement, à un moment donné, ça a été répertorié comme vulnérable.

Daniel Schneidermann : D'accord. Et cette liste on l'a trouvée sur quel site, en fait. On est où là ?

Jean-Marc Manach : Je ne vois pas l'URL. On mettra ça sur l'article. Ce sont des chercheurs qui ont testé sur les mille sites les plus populaires, les plus fréquentés, ou les dix mille sites, dix mille sites - c'est marqué - les plus fréquentés dans le monde. Ils ont regardé, ils ont lancé des scripts pour savoir quels étaient ceux qui étaient vulnérables ou pas vulnérables. Ce qui est très intéressant, c'est que moi, sur cette liste-là, il y avait une dizaine de sites français, je les ai essayés, et sur ces sites français, il y en avait un seul qui proposait un accès par login/mot de passe. Et ce site-là proposait un accès login/mot de passe sans le https. Donc, oui, le site était vulnérable, mais de toutes façons, on rentrait en clair son login et son mot de passe. Donc c'est presque pire que, enfin, non, ce n'est pas pire, c'est encore une autre faille. Ce n'est pas une autre faille de sécurité, mais le login/mot de passe circule en clair. Mais il y a plein de sites qui sont répertoriés dans cette liste de sites vulnérables, mais qui n’utilisent pas de login/mot de passe. Ce n'est pas fiable, pour faire simple.

Daniel Schneidermann : Très bien. Pour terminer, proposition qui ne mange de pain : changer ses mots de passe tous les trois mois, vous pensez vraiment que c'est nécessaire ?

Éric Leblond : Ce serait une bonne hygiène.

Jean-Marc Manach : Quelqu’un qui est à risques, oui, il devrait changer tous les trois mois. Quelqu’un qui n'est pas à risques, qui ne risque pas de perdre ou qui ne fait pas l'objet d'espionnage industriel ou ce genre de choses, ce n'est pas forcément dramatique. Par contre, changer régulièrement de mot de passe, une fois par an, une fois tous les six mois, sur les comptes les plus sensibles, typiquement son adresse mail par exemple, oui, c'est quelque chose qui relève de l'hygiène. Enfin, ça fait des années qu'on parle d'hygiène du mot de passe. Et donc ça veut dire aussi apprendre à choisir un bon de passe.

Éric Leblond : Et avoir des mots de passe différents selon les services.

Jean-Marc Manach : Un mot de différent sur l'ordinateur du travail, sur l'ordinateur à la maison, sur le mail. Et quand on utilise Le Bon Coin, eh bien ce n'est pas le même mot de passe que le mot de passe pour son adresse e-mail.

Daniel Schneidermann : Pour terminer, Jean-Marc, un bon mot de passe c'est quoi ?

Jean-Marc Manach : C'est là où on vous a ressorti un autre dessin de Randall de XKCD. En fait, XKCD a fait un test. Il a comparé la difficulté, pour un ordinateur, à ce qu'on appelle cracker un mot de passe complexe, typiquement $ # M a : $ …, et puis, le fait de choisir trois mots, trois quatre mots, qui sont courants, donc là c'était troubadour, cheval, batterie et agrafe, et il s'est aperçu que troubadour, cheval, batterie, agrafe c'était plus compliqué à cracker que le mot de passe le plus compliqué. Et donc, il en ait arrivé à la conclusion, qu'il faut mieux choisir une phrase de passe, longue, avec des mots simples, mais qui n’existe pas. Typiquement c'est « je est un autre », ce n'est pas bien parce que « je est un autre », il y a tellement de phrases qui disent dans des dictionnaires « je est un autre ». Il faut choisir une phrase qui n'existe pas telle que. C'est beaucoup plus difficile de cracker ça, qu’un mot de passe compliqué. Et donc là, on peut relativement facilement se créer une phrase de passe, qu'on retiendra très facilement, mais qui sera quasiment impossible à un pirate de casser.

Daniel Schneidermann : Donc il faut changer, de site en site.

Jean-Marc Manach : Il ne faut pas utiliser le même.

Daniel Schneidermann : C'est-à-dire il faut avoir plusieurs phrases de passe.

Jean-Marc Manach : On peut avoir une phrase de passe. Ce que font certains, également, c'est qu'ils prennent une phrase de passe et, ensuite, quand ils la donnent à Windows, ils rajoutent le mot Windows ; quand ils la donnent à Yahoo, ils rajoutent le mot Yahoo ; quand ils la donnent à Gmail, ils rajoutent le mot Gmail. etc. Comme ça on a une phrase de passe pour tous et ensuite des mots. Sinon il y a un autre, c'est ce que recommande la CNIL, qui a fait une vidéo6 là-dessus il y a un mois, c'est ce qu'on appelle les portefeuilles de mots de passe. En fait, ce sont des logiciels qu'on installe sur son ordinateur ou sur son smartphone ; on n'a besoin de se souvenir que de la phrase de passe qui ouvre le coffre-fort et, à l'intérieur de ce coffre-fort, eh bien vous avez, stockés, tous les mots de passe que vous utilisez sur tous vos sites web et qui là peuvent être très complexes. Mais vous n’avez besoin de retenir qu'un seul mot de passe, celui du coffre-fort.

Daniel Schneidermann : Super. Merci à tous les deux pour cette émission absolument pédagogique et garantie sans implémentation, ou presque. Jean-Marc, rendez-vous dans quinze jours, avec cette fois votre vraie casquette d'animateur et ce sera la conclusion : vive les phrases de passe ! À dans quinze jours.