Heartbleed: Le programmeur responsable du bug parle d'une erreur «triviale»

La faille a fait paniquer tous les experts Web. Et l'étendue de ses conséquences ne sera sans doute pas connue avec un moment. Jeudi, Robin Seggelmann, le programmeur allemand responsable du bug Heartbleed, s'est confié au Sydney Morning Herald. Et s'il affirme avoir fait une erreur «triviale» et «malheureuse», il jure qu'elle était «involontaire».

Seggelmann fait partie des quatre programmeurs européens de la fondation qui gère la technologie open source OpenSSL. Il explique avoir corrigé des bugs et ajouté de nouvelles fonctions, en 2011. Dans l'une d'entre elles, baptisée «heartbeat» (battement de cœur), il a «oublié de valider une variable». Conséquence, avec les bons paramètres, il était possible de faire cracher des informations à un serveur, notamment des mots de passe en clair. Et pire, des clés de décryptage ouvrant les portes protégées du site.

La NSA hors de cause

A l'annonce de la découverte de la faille, lundi, certains yeux se sont tournés vers la NSA. Mais Seggelmann jure que l'agence américaine n'a jamais été impliquée dans la conception ou la maintenance d'OpenSSL. Il n'écarte cependant pas qu'elle ait pu découvrir et exploiter la faille au cours des deux dernières années.

Au final, il semble donc qu'il s'agisse bien d'une erreur humaine. Certains estiment que la situation illustre les limites de la gestion d'un protocole open source utilisé par deux sites Web sur trois, qui ne dispose que d'un budget annuel d'un million de dollars. D'autres rappellent que la technologie de cryptage RSA, pourtant privée, a été affaiblie par du lobbying de... la NSA.