Alors que l'on commence à peine à voir les premières sociétés communiquer autour de la faille Heartbleed qui a été découverte il y a maintenant deux semaines, l'Assemblée nationale semble enfin réagir à la question. En effet, une première question d'un député vient d'être posée sur le sujet.
Alors qu'outre-Atlantique Heartbleed a déjà incité les autorités à réagir et à communiquer officiellement, que ce soit au Canada pour le problème visant l'ARC ou aux États-Unis à travers une mise à jour forcée des mots de passe sur le site dédié à HealthCare par exemple, en France, les choses sont encore assez timides.
La France toujours assez silencieuse sur Heartbleed
En effet, chez nous, ce sont surtout le CERTA, via un bulletin régulièrement mis à jour, et l'ANSSI via ses recommandations, qui sont à la manœuvre. À notre connaissance, rares sont les administrations a avoir évoqué le sujet publiquement, si ce n'est les services des impôts comme nous le soulignions en fin de semaine dernière. Est-ce parce que l'ensemble de notre administration a été épargnée, ou parce que des enquêtes sont en cours ? Impossible de le savoir pour le moment.
Mais il devient de plus en plus compliqué d'éviter le sujet et l'on se demande quand est-ce que la nouvelle Secrétaire d'État au Numérique, ou son ministre de tutelle, Arnaud Montebourg, l'évoqueront publiquement. Cela pourrait bientôt être le cas puisqu'une question écrite vient d'être déposée par Philippe Briand, député UMP d'Indre-et-Loire. Celle-ci est un peu approximative sur les termes utilisés, mais a le mérite de poser le problème :
« Il existerait une faille, surnommée heart bleed, dans l'un des logiciels d'encodage les plus utilisés au monde, openSSL, visant à protéger les mots de passe, les numéros de carte bancaire ou d'autres données sur Internet. Via cette faille, les pirates potentiels ont donc la possibilité de pénétrer aisément dans les ordinateurs pour y récupérer codes, mots de passe et les « clés » utilisées pour déverrouiller des données cryptées ou imiter un site. Face à ce risque considérable pour les utilisateurs d'internet, il souhaiterait connaître les mesures envisagées par le Gouvernement pour mettre en œuvre une sécurisation maximale de la toile. »
Malheureusement, il n'est pas question ici de savoir quels sont les services de l'État touchés, et de l'information du grand public face à cette faille, que ce soit par l'administration ou les sociétés qui ont pu être touchées et qui, pour certaines, gardent pour le moment le silence. Cet élu de l'opposition demande au gouvernement de sécuriser « la toile » dans son ensemble, rien de moins.
Heartbleed pose des questions auxquelles il faudra bien répondre
Peut-être veut-il inciter les services tels que l'ANSSI à mettre à disposition ses experts pour le développement des projets open source qui sont à l'origine d'une bonne partie de l'infrastructure d'Internet, ou même pour auditer de manière plus régulière ceux qui sont largement exploités par l'État ? Cela pourrait aussi ouvrir la voie à une discussion plus générale sur la manière dont la sécurité des internautes est - ou n'est pas - correctement assurée par les différents services en ligne, qu'ils soient sensibles ou non.
Mais que cette question se voit apporter une réponse ou non, espérons tout de même que les responsables politiques vont commencer à se saisir du problème, près de deux semaines après la découverte d'une faille qui fait grand bruit un peu partout dans le monde, mais qui ne semble pas vraiment préoccuper ici... en attendant que les premiers gros problèmes ne surviennent ?
