heartbleedUne faille critique de sécurité a été découverte récemment, elle a été nommée Heartbleed. Le site Numerama la présente comme suit :

« Le bug Heartbleed est une faille sérieuse dans la bibliothèque logicielle de cryptographie OpenSSL. Cette faiblesse permet de dérober des informations protégées […] par le chiffrement SSL/TLS utilisé pour sécuriser l’Internet. Le SSL/TLS fournit une sécurité et une confidentialité des communications sur Internet pour des applications comme le web, le mail, la messagerie instantanée et le VPN« , explique un site dédié.

Celui-ci ajoute que « le bug Heartbleed permet à n’importe qui sur Internet de lire la mémoire des systèmes protégés par une version vulnérable du logiciel OpenSSL« . Selon l’avis de sécurité publié sur le site d’OpenSSL, jusqu’à 64 Ko de données sont récupérables sur un client ou un serveur. Ce qui permet de collecter des échantillons de données et d’y découvrir parfois au hasard des informations exploitables.

Le problème est grave, très grave et ne pose pas seulement des questions de sécurité, mais aussi et surtout de gouvernance de l’Internet. Il faut rappeler que cet outil est employé pour apporter la connectivité HTTPS à près de 65 % des sites Web à travers le monde. 

Est-il sain que des millions de sites fassent transiter des données sécurisées au moyen d’une bibliothèque Open SSL gérée par quelques personnes ? Le site Silicon.fr pointe le problème :

Mais, in fine, c’est bien une certaine forme d’échec du modèle open source auprès du public qui transparaît ici. OpenSSL est un composant crucial du web, qui ne soulève toutefois que peu d’enthousiasme de la part des développeurs. Conséquence de ce manque d’attractivité, la fondation OpenSSL travaille avec un budget minimal et le logiciel est géré par quatre développeurs, dont un seul employé à temps complet. Le code incriminé avait ici été inclus dans le projet sans aucun audit… faute de moyens. Du moins aucun audit officiel, les agences de renseignement de la plupart des pays ayant probablement plusieurs dizaines de personnes chargées de trouver des vulnérabilités dans cet outil.

Voilà qui rejoint un question posée par l’expert en sécurité Larry Selzer sur Zdnet et dans un autre article du même site, il est évoqué la question de supervision étatique par les USA :

Hier soir sur Twitter, l’expert en sécurité Dan Kaminsky, dans une discussion avec son confrèreThomas Ptaceks’est dit favorable à la supervision indépendante du code des projets importants comme OpenSSL par des entités financées par l’Etat – c’est à dire, l’Etat américain, ce qui posera une nouvelle fois la question de la gouvernance des standards… et également celle des implémentations, puisque Larry Seltzer se dit favorable à une extension.

Nous pensons  que la gestion des standards doit se faire en communs, quelle ne doit en aucun cas être contrôlée ni supervisée par les USA ou un seul état, mais que la communauté internationale doit confier à une entité indépendante la gestion de ces standards. Seule une gouvernance ouverte et partagée avec des règles claires permettra d’éviter de telles failles critiques à l’avenir. Que le financement soit public ou privé est un enjeu au moins aussi important que de savoir par quels processus se font l’élaboration des standards et leur évolution. Gérer des standards en communs, c’est confier à une communauté ouverte dans un cadre clairement établi par un cadre international le maintien et la sécurité des standards, parce que pour être efficaces, ils ne doivent appartenir à personne et qu’ils sont utiles à tous.

Plus globalement, la conférence NETMundial, qui doit se tenir à la fin du mois au Brésil est une lueur d’espoir dans un contexte de surveillance généralisée et d’enclosures gravissimes de certains Etats (en particulier les Etats-Unis) sur les standards du Web, au détriment des libertés publiques des populations.

Selon Mediapart, un document provisoire diffusé via Wikileaks :

(…) confirme déjà en grande partie des pistes de réformes annoncées et semble rendre impossible le maintien de la situation actuelle.

Ce projet réaffirme la nécessité d’inclure dans la gouvernance d’internet les questions de droits de l’homme, de liberté d’expression, de neutralité du net, ainsi que sur la nécessité d’un réseau libre et ouvert : « Internet doit rester neutre, libre de toute discrimination afin d’encourager la libre expression, la libre circulation de l’information et des idées, la créativité, l’innovation et l’entreprenariat. »

le projet prévoit également de donner plus de pouvoirs au Forum sur la gouvernance de l’Internet (IGF), une instance regroupant les différents acteurs de la gouvernance et se réunissant chaque année. L’IGF se verrait doter de moyens supplémentaires, notamment financiers, afin de devenir « un forum permanent » et « promouvoir une discussion mondiale entre les réunions »

Le Forum sur la gouvernance d’Internet est placé sous l’égide des Nations-Unies ce qui semble positif pour permettre une gouvernance ouverte et collégiale. Nous nous associons à ce projet et nous appelons la communauté internationale à soutenir l’esprit de ce projet pour qu’Internet reste un bien commun, dont la neutralité est garantie et les standards gérés en communs.