Journée nationale de la sécurité informatique - Comment des bénévoles ont corrigé la pire vulnérabilité du Web

Il est difficile de se souvenir de l'époque où l'achat de produits en ligne n'était guère plus qu'une chimère. Aujourd'hui, les transactions par carte de crédit peuvent être transmises en toute sécurité sur le Web sans que les données de quiconque ne soient compromises. Cela est possible grâce à un ensemble d'outils de cryptage mis au point à la fin des années 1990. OpenSSL a pris en charge la tâche compliquée du cryptage des données et a permis aux développeurs du monde entier de l'intégrer plus facilement dans leurs programmes. Et c'est une petite équipe de bénévoles qui a rendu cela possible. Oui, des bénévoles.

Il est difficile d'imaginer que de grandes équipes de développeurs du monde entier contribuent gratuitement à la maintenance de certains des outils logiciels les plus importants au monde. Dans de nombreux cas, contribuer au code de ces projets est considéré comme un service public. Certains des développeurs sont des professionnels qui contribuent pendant leur temps libre, d'autres sont des étudiants qui perfectionnent leur art, et d'autres encore sont des god-knows-what.

On peut légitimement se demander ce qui se passerait s'il y avait un bogue dans OpenSSL ? Qu'est-ce qui inciterait ces bénévoles non rémunérés à le corriger ? Il n'est pas nécessaire de se poser la question quand on considère l'histoire de la "pire vulnérabilité trouvée [...] depuis que le trafic commercial a commencé à circuler sur Internet."¹

Le développement d'OpenSSL s'est poursuivi dans une quasi-obscurité. En dehors des cercles de génie logiciel et de sécurité nationale, peu de gens savaient de quoi il s'agissait. Mais le projet allait bientôt attirer l'attention nationale sous la forme d'un bogue surnommé "heartbleed" découvert par un ingénieur de Google. Heartbleed, s'il est exploité, pourrait potentiellement permettre aux pirates de glaner des données sensibles (comme les numéros de carte de crédit et les adresses électroniques) échangées sur le Web.

Un consultant en sécurité du ministère américain de la défense, Stephen Marquess, qui avait également contribué au code du projet, a aidé à créer la Fondation OpenSSL afin de générer des fonds pour maintenir OpenSSL en vie. Marquess a lancé un appel public au soutien de l'équipe afin d'empêcher que de futurs bogues échappent à la détection aussi longtemps que Heartbleed :

"Ces gens ne travaillent pas sur OpenSSL pour l'argent. Ils ne le font pas pour la célébrité (qui, en dehors des cercles de geeks, a entendu parler d'OpenSSL jusqu'à ce que "heartbleed" fasse la une des journaux ?) Ils le font par fierté de l'artisanat et par responsabilité pour quelque chose en quoi ils croient."

Heartbleed s'est avéré être une bénédiction déguisée. La découverte du bogue a généré davantage de soutien financier pour le projet OpenSSL. Mais l'avenir pourrait nous réserver de nouvelles complications. Le modèle commercial de l'open source - ou son absence - fait qu'il est difficile de garantir le financement de projets importants. Tu peux faire un don au projet OpenSSL sur son site Web, mais il y a beaucoup d'autres outils logiciels qui n'ont pas le soutien nécessaire pour survivre.

Si tu souhaites soutenir des projets open source, voici où tu peux commencer :

• Trouve le site web du projet ou la page GitHub.
• Vois qui sont les contributeurs
• Vérifie s'ils acceptent les dons
• Partage le projet avec d'autres
• Envisage de devenir un contributeur

InMotion Hosting déploie des centaines de programmes open source de toutes tailles et complexités avec ses produits d'hébergement et souhaite exprimer sa gratitude envers les personnes en coulisses qui rendent tout cela possible en faisant don de leur temps et de leurs ressources intellectuelles.

Les projets open source démarrent et s'éteignent tout le temps. Sans le soutien des bénévoles de la communauté ou un modèle économique durable, ton projet préféré risque de disparaître. Alors implique-toi dès aujourd'hui.