Pendant le salon B.Boost de La Rochelle – consacré aux logiciels libres et à l’open source –, plusieurs conférences parlaient de cybersécurité. Plus de sept ans après le douloureux épisode Heartbleed d’OpenSSL, nous avons cherché à savoir si les mentalités avaient changé.
Dans le monde actuel, les cyberattaques se multiplient à vitesse grand V ; toutes les entreprises et les institutions sont concernées ou le seront un jour, ce n’est qu’une question de temps. Pour Henri Verdier, ambassadeur pour les affaires numériques, « la prochaine guerre mondiale commencera par une attaque cyber ».
Il faut évidemment espérer que l’on n’en arrivera jamais là, mais il faut tout de même prendre cette menace au sérieux. L’open source est une approche intéressante, car « les failles sont plus faciles à détecter quand vous ouvrez le code : tout le monde peut regarder, alors que si vous avez un code fermé il n’y a en gros que les méchants qui peuvent regarder », expliquait un intervenant. Ce n’est malgré tout pas un gage de sécurité absolu, loin de là.
Surveiller les tiers de confiance
Olivier Grall, délégué sécurité numérique de l’ANSSI dans la région Nouvelle-Aquitaine, commence par quelques rappels salutaires : « vos données vous les stockez chez des tiers de confiance et vous partez du principe qu’ils en assurent la sécurité »… Mais est-ce toujours le cas ? Non, d’autant qu’il y a la notion de confidentialité et celle de pérennité comme certains l’ont découvert avec perte et fracas suite à l’incendie d’OVHcloud au début de l’année.
Ainsi, « vous n’avez pas de visibilité sur qui opère les données et ce qu’ils en font, qu’ils soient français ou étrangers ». Olivier Grall cite l’exemple d’un responsable financier d’une très grande société « qui a mis en vente la base de données intégrale de ses clients sur le darkweb pour se faire un peu d’argent (20 000 euros) ». Il n’y a donc pas besoin d’une cyberattaque ou de passer par un service étranger pour mettre en danger ses données.
Heartbleed : un gros coup de tonnerre… pour rien ?
Lancelot Pecquet, maître de conférences à l’université de Poitiers, est revenu sur la faille Heartbleed d’OpenSSL qui a tant fait parler d’elle en avril 2014, car elle permettait de récupérer des données telles que des mots de passe et des numéros de cartes bancaires. L’histoire derrière cette brèche, les questions qu’elle soulève et les leçons qui en ont été tirées sont intéressantes à analyser.
Comme nous avons déjà eu l’occasion de le rappeler à maintes reprises, « ce n’est pas parce que c’est open source et qu’on peut voir le code qu’on peut voir la faille ». Parfois elle est compliquée à trouver, alors que dans d’autres cas elle est cachée intentionnellement. Avec Heartbleed, se pose la question de la découverte de la faille, faite simultanément par deux organismes : Google et la société finlandaise Codenomicon.
Pour que cette dualité existe, c’est soit le fruit du hasard, soit des experts des deux entités ont repéré un élément suspect quelque part sur Internet et ils ont creusé. Cette thèse, évoquée par plusieurs personnes sur le salon, apporte de l’eau au moulin de ceux qui pensent que la NSA était au courant et exploitait cette vulnérabilité.
Une autre question est de savoir si cette faille a été ajoutée par « malchance » ou malveillance. Il y a eu « de forts soupçons sur le fait que Robin Seggelmann et le code reviewer Stephen Henson auraient été de mèche et influencés par des agences pour permettre que ce code soit diffusé ».
Néanmoins, « ce qui ressort de l’enquête c’est que c’est une erreur et que ça arrive ». Nous demandons à Lancelot Pecquet si cet « électrochoc » Heartbleed a fait bouger les choses dans la durée : « mon impression et mon observation : ça n’a pas changé grand-chose […] car les gens sont très pressés de sortir la nouvelle fonctionnalité ».
Il y a bien eu la Core Infrastructure Initiative (CII) de la Linux Foundation pour financer les projets libres et open-sources (lancée suite à Heartbleed), mais cela ne change finalement pas le problème de fond et ne semble pas avoir franchement fait évoluer la situation. Il regrette que, bien souvent, il n’y ait « pas de vision architecture et stratégique de l’ensemble des composants ». De plus : « vu la pression sur les calendriers, je ne vois pas très bien ce qui aurait pu changer cela, à moins d‘avoir une vision stratégique ».
On serait ainsi « toujours dans quelque chose d’assez opportuniste [et] on va copier-coller le truc qui marche ». Le problème étant que cette technique du copier-coller est « aussi un truc qui marche chez les étudiants » dont ils usent (et abusent ?) durant leur apprentissage. Ils peuvent donc avoir tendance à le reproduire.
« Réinventer sa crypto c’est le meilleur moyen de se planter »
Nous avons profité d’une autre table ronde pour poser cette même question de l’électrochoc Heartbleed à plusieurs experts. Nous espérions une réponse du représentant de l’ANSSI, mais il a préféré botter en touche et passer le relai à Thierry Leblond, cofondateur et président de Scille, une société spécialisée dans le développement de progiciels qui propose des solutions zero trust pour le stockage des données.
Celui-ci reconnait que, bien évidemment, son entreprise signalera (et corrigera) des failles identifiées dans des solutions open source qu’elle utilise, mais qu’elle ne « fait pas la revue complète » des bibliothèques. Il vante néanmoins les louanges de l’open source :
« Si on va réinventer sa crypto, c’est le meilleur moyen de se planter parce que la crypto c’est la confiance qui s’est construite au fil du temps . Aujourd’hui il y a d’excellentes bibliothèques crypto qui font le taf. »
Les faces sombres de l’open source
Il n’en reste pas moins que, selon Pecquet, l'affaire Heartbleed relance la question « de l’instrumentalisation de l’open source […] Au-delà d’erreurs, il y a clairement des tentatives de manipulation du code source », affirme-t-il. Des développeurs sont ainsi approchés… plus ou moins discrètement et sur un timing plus ou moins long.
Sur des solutions open source très utilisées, ces tentatives peuvent commencer par des contributions de développeurs, qui peuvent ensuite dériver doucement vers un comportement suspect à un moment donné, en essayant de pousser des modifications qui les arrangent. N’allez pas croire que c’est ponctuel : « on peut observer que ça existe régulièrement », affirme le professeur.
La question qu’il soulève est de savoir « quelles sont les intentions des personnes qui font ça ? » Si dans certains cas elles peuvent paraitre obscures (la cible est peut-être une autre application qui utilise cette brique technologique), dans d’autres cas c’est évident. Il donne un exemple qui n’était pas des plus discrets : la « tentative de piratage du compte de Gentoo sur lequel est basé CLIP OS, le système développé par l’ANSSI ».
Le principe même de l’open source est de proposer du code qui peut être utilisé et réutilisé, mais il faut prendre en compte qu’il n’est pas forcément toujours maintenu avec rigueur.
Une étude est mise en avant durant la conférence : « on a annoncé à des développeurs de 117 projets GitHub qu’il y avait un problème dans leur code public ». Résultat des courses : « il n’y en a que 15 qui ont répondu. La plupart ont dit "oui tant pis c’est pas grave je bouge pas", ou "ce n’est pas très grave" ».
« Ça pose cette question de la conscience que peut avoir cette communauté de développeurs et de l’enjeu que peut avoir la mise à disposition de code qui possède des vulnérabilités et de ne pas agir face à cette découverte ». De l’autre côté du spectre, les développeurs qui réutilisent ces codes doivent aussi être conscients des risques.
Un autre problème tient parfois au fait que ce ne sont pas les bibliothèques qui sont utilisées, mais juste des copier-coller. Même si le développeur met à jour son dépôt, il faut alors récupérer les lignes de codes. Ces sujets sont évidemment connus depuis longtemps, mais pas suffisamment pris en compte par certains acteurs et les choses ne bougent pas vraiment, explique Lancelot Pecquet.
Les attaques sur les solutions open source peuvent aussi passer par les réseaux sociaux, qui sont largement utilisés par les services de renseignements pour cibler des utilisateurs à « haute valeur ». Cela peut passer par de faux comptes – par exemple une jeune et belle personne – qui approchent des cibles afin de récupérer des informations pour préparer une cyberattaque.
Le but peut aussi être de les « tamponner ». Pour le professeur cette notion renvoie à « la capacité qu’un service peut avoir de vous faire faire ce qu’il a envie ». Ces problématiques seraient « souvent pas connu, parfois abordé avec un sourire comme une légende », alors que « c’est typiquement le genre d’attaque qui pourrait avoir des conséquences significatives sur la vie d’un projet open source ».
Autre exemple : un nombre significatif de développeurs de haut niveau participent à un projet open source avec « comme objectif de créer la discorde au sein de la communauté, de telle sorte que le projet forke et qu’on se retrouve à recréer un produit à côté ». Les « frondeurs » en profitent alors pour avoir davantage la mainmise sur le projet et les changements à y apporter. De loin cela apparaitrait comme une énième dispute au sein d’un projet open source, comme il en arrive régulièrement, et permettrait de cacher les intentions réelles.
Les motivations pourraient être d’introduire une porte dérobée, d’affaiblir le chiffrement, etc. « Peut être que ce type d’attaque a eu lieu ou pourrait avoir lieu, mais je ne suis pas sur que les gens soient sensibilisés ».
WSL : Linux devient une « feature » dans Windows
Il donne enfin l’exemple d’une « manœuvre efficace dans la communauté open source » : Microsoft avec son WSL (Windows Subsystem for Linux). Libriste dans l’âme, Lancelot Pecquet ne voit pas cela d’un bon œil et dépeint « une opération stratégique d’encerclement qui consiste à faire entrer Linux dans Windows comme une '"feature" ».
Suite au lancement de cette fonctionnalité, il affirme avoir déjà eu des questions du genre : « Pourquoi veux-tu booter sous Linux puisque maintenant on a WSL ? ». « Des gens ont été convaincus par le discours idéologique de Microsoft […] Ils veulent qu‘on croie qu’ils aiment Linux… et ça marche ».
Ce mouvement visible de Microsoft ne serait que la face visible de l’iceberg. D’autres « manœuvres » du genre pourraient se produire à d’autre niveau sur de petites briques qui sont ensuite réutilisées par de grands systèmes, sans forcément saisir tous les enjeux. Là encore, xkcd à un dessin qui résume bien la situation et les risques :
