Google savait déjà à propos de Heartbleed et n’a informé personne

Sécurité

Depuis la semaine dernière, la faille de sécurité du protocole OpenSSL a fait couler beaucoup d’encre. Cependant, il semble que Google était déjà à l’affût du problème en question bien avant que l’affaire éclate au grand jour.

Selon le magazine National Journal, Neel Mehta, ingénieur chez Google, a découvert le fameux bogue du protocole OpenSSL quelque part au mois de mars. L’entreprise à tôt fait de colmater la faille sur la majorité de ses services avant même que la firme Codenomicon révèle au monde entier l’existence de Heartbleed, le 7 avril dernier.

Les utilisateurs de Google peuvent néanmoins se réjouir du fait que la société a immédiatement corrigé le problème pouvant compromettre la confidentialité de leurs renseignements personnels.

À bien des égards, la nouvelle n’est pas si surprenante. Les entreprises préfèrent généralement régler les problèmes de sécurité de leurs services avant d’annoncer publiquement la présence d’une faille aussi critique. Cependant, le gouvernement américain n’apprécie guère que Google ait maintenu le silence au sujet de Heartbleed, laissant ainsi les services fédéraux vulnérables aux pirates.

Il faut savoir que le gouvernement américain encourage fortement les entreprises du secteur technologique à signaler les problèmes de cybersécurité à l’équipe d’intervention d’urgence informatique du Département de la Sécurité intérieure des États-Unis.

Les utilisateurs de Google peuvent néanmoins se réjouir du fait que la société a immédiatement corrigé le problème pouvant compromettre la confidentialité de leurs renseignements personnels.

Rappelons qu’une nouvelle version d’OpenSSL corrige la faille en question. Cependant, il n’est pas de votre ressort d’installer quoi que ce soi; c’est plutôt à l’administrateur de réseau de mettre à jour la version employée par le serveur d’un service web. Il existe cependant une extension pour Chrome et Firefox qui permet de savoir lorsqu’on visite un site affecté par Heartbleed.

  • http://www.alexandreclement.com Alex

    Le gouvernement américain peut bien se plaindre de Google : la NSA — une agence américaine — était au courant depuis près de 2 ans et n’a rien dit non plus.

    • Serge

      Je ne peux être plus d’accord.

    • DJ

      ok… ta source ??

    • Mathieu

      C’est impossible de savoir si oui ou non la NSA avait connaissance et exploitait la faille depuis 2 ans.
      Ce qui est sur, c’est que maintenant (partiellement grace à Google), la faille est connue et corrigée et ne peut plus être exploitée par la NSA et les autres agences.

  • HD Z

    N’importe qu’elle entreprise respectable aurait procédé de la même façon que Google.

  • http://stech72.tumblr.com/ Steve C

    Ce qui me sidère dans cette histoire , ce sont les codeurs responsables de OpenSSL…. batinse ce n’est pas un pacman ou encore un Angry bird qu’ils codaient cette équipe, mais un maillon essentiel d’authentification sur le réseau …. Surtout quand on sait de quel type d’erreur il s’agit ( un goto=fail mal foutue ) pour ma part j’y vois un manque de rigueur complet ……

    Les entreprise qui proposent des clef SSL privé doivent maintenant rire dans leur barbes ( comodo, verising, symantec et cie )

  • Stef

    La NSA à les mains liés, et je dirais même plus il font 10 fois pire que ça et google est dans le coup…. Alors obligatoirement, faut que n’importe qui d’autres, sauf la NSA qui révèle les bogues, de peur que l’on révèle leurs magouille d’espionnage internationnale….