A travers l’affaire heartbleed on découvre qu’une grande partie du commerce mondial en ligne repose, notamment, sur un logiciel libre. Cependant, si ça n’avait pas été un logiciel libre on n’aurait pas trouvé la faille aussi facilement. Comme le code source est disponible, tous les développeurs peuvent le vérifier.
Un des contributeurs Open SSl s’est récemment défendu en rappelant qu’ils fournissent gratuitement un logiciel de sécurité qui est utilisé par des centaines de millier de personnes. C’est donc aussi à ces personnes de contribuer à améliorer le logiciel. Actuellement Open SSL est une fondation américaine, qui compte un employé à plein temps, quelques contributeurs, et ne dépasse pas le million de dollars de chiffre d’affaire annuel. Le logiciel prend en compte 70 % des trafics chiffrés sur internet. Beaucoup d’entreprises se servent du logiciel mais ne reversent rien à la fondation…
Le principe de l’open source est le partage du code source, il permet d’utiliser le logiciel gratuitement, la contrepartie c’est qu’il faut aider à améliorer le logiciel, soit par des dons ou par le financement de développeurs. Pour Open SSL comme pour beaucoup de logiciels open source, il y a une différence importante entre le nombre d’utilisateurs professionnels et le nombre de contributeurs pour améliorer le code. Les utilisateurs ont tendance à considérer le logiciel libre comme une commodité, sans considérer que c’est un bien commun. Comme pour tout produit, un investissement (en temps et en argent) assure une bonne qualité.
Google et Cisco disent qu’ils contribuent en encourageant leurs propres ingénieurs à rechercher des bugs dans le code. Le site OpenSSL liste un ingénieur de Cisco et plusieurs de Google qui ont découvert des bugs et des correctifs au fil des années. De même, Microsoft et Facebook ont créé l’initiative Bug Bounty Internet, qui paie les ingénieurs qui révèlent des bugs dans de nombreux systèmes, comme OpenSSL. Mais les défenseurs open-source disent que les entreprises qui s’appuient sur le code devraient faire plus pour aider. Par exemple, les experts en sécurité, les entreprises et gouvernements pourraient payer pour des audits de code régulier, en particulier lorsque la sécurité de leurs propres produits dépend de la fiabilité du code.
La tendance à investir sur les problématiques de sécurité s’intensifie. Notamment suite aux révélations de Snowden. Aujourd’hui, beaucoup d’entreprises, chercheurs, et militants, commencent à revoir les codes sources des logiciels utilisés en matière de sécurité informatique pour les renforcer. Avec la panique liée à heartbleed ces efforts de vérification de l’intégrité des codes sources des logiciels libres vont s’accroitre. Ce mouvement va donc dans le bon sens.
Par exemple, avec Microsoft, il a fallu attendre le début des années 2000 pour que la sécurité informatique devienne un de ses cœurs de métier. Dans les années 90 il y a eu beaucoup de virus dans les ordinateurs sous Windows qui avaient entrainé une campagne violente contre Microsoft que l’on accusait de laisser se propager des virus sans mettre de kits dédiés à la sécurité.
La vision de la sécurité informatique, en France et à l’international, a été longtemps biaisée, dans les médias, par les responsables informatiques ou d’entreprise et pendant très longtemps la sécurité n’a pas été investie.
Depuis les choses ont évolué. Malgré le retard en France dans ce domaine qui pousse de nombreuses entreprises à recruter beaucoup de leurs spécialistes de sécurité à l’étranger, le métier de la sécurité informatique est désormais mis en avant et les filières de recrutement se multiplient.