Sécurité

Un chercheur vital en sécurité des e-mails pourrait abandonner par manque de fonds – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

L’un des problèmes les plus troublants de la sécurité informatique à pratiquement tous les niveaux est le sous-financement chronique des développeurs qui y travaillent. Cela a été mis en évidence avec une vengeance particulière en 2014, car de multiples bogues de sécurité dans des normes critiques ont été découverts (et dans certains cas, exploités sans pitié). Ces épisodes ont révélé le fait que si des entreprises multimilliardaires construisent des produits qui s’appuient sur des normes comme OpenSSL, elles ne contribuent que rarement à ces normes de manière significative. Aujourd’hui, sa messagerie sécurisée fait face à une perte critique – l’un des développeurs les plus importants, Werner Koch, a effectivement annoncé qu’il cesserait de développer des outils de messagerie sécurisée s’il ne trouvait pas de financement pour son travail.

ProPublica a les détails sur cette histoire, qui retrace le travail de Koch sur Gnu Privacy Guard et le client de messagerie sécurisé Windows, GPG4Win. Depuis 1997, Koch entretient et améliore son propre logiciel de messagerie sécurisée. Il attribue une conférence de Richard Stallman pour lui avoir donné l’idée – à l’époque, le progiciel Pretty Good Privacy n’était pas disponible à l’exportation, ce qui a conduit RMS à défier les programmeurs européens de créer leur propre implémentation.

Werner Koch

Koch, s’exprimant lors d’un événement.

Depuis lors, Koch a travaillé à des salaires très bas pour créer et maintenir un outil de confidentialité des e-mails que de grandes entreprises ont exploité et que des gens comme Edward Snowden dépendait de contacter Greenwald et d’autres journalistes, souvent sans trop de compensation ou de reconnaissance. UN campagne financée par la foule qu’il a mis en place pour aider à financer son travail n’avait gagné que 47 000 $ sur un objectif de 137 000 $ en décembre, son propre site Web le montre actuellement financé à 80 707 €. On ne sait pas quelle quantité de cela a versé au cours des derniers jours.

Réfuter le mythe des « yeux multiples » et le besoin global d’une meilleure sécurité

L’un des points de discussion standard pour expliquer pourquoi le code open source est censé être meilleur que son équivalent à source fermée est que le logiciel open source est censé avoir beaucoup plus d’yeux qui le surveillent, corrigent les bogues et contribuent à un meilleur produit final. Dans de nombreux cas, cela peut être vrai – mais l’un des leçons de Heartbleed est que les globes oculaires doivent être en regardant pour les bogues avant qu’ils ne soient attrapés. Cela signifie des audits logiciels complets, qui prennent du temps et coûtent de l’argent — de l’argent que, dans de nombreux cas, ces programmes fondamentaux n’ont pas eu.

Psssssst :  Le britannique Cameron veut interdire le chiffrement - High-teK.ca

Le financement seul ne peut pas maintenir un projet disponible, mais Internet dépend d’un certain nombre de normes de base qui ne relèvent pas de la responsabilité des grandes organisations à but non lucratif ou des fondations open source bien financées, mais sont financées pratiquement comme des dépenses personnelles. Il était une fois, la NSA et d’autres agences gouvernementales auraient pu avoir un rôle à jouer pour aider à garantir ces normes, mais il est peu probable qu’une telle aide soit reçue avec autre chose qu’un œil vrillé dans le régime actuel – d’autant plus que la NSA apparemment exploité le bug Heartbleed pendant des années.

Pourtant, il est évident que quelque chose doit changer. Financer le propre GPG de Werner Koch est un excellent premier pas, mais les dons privés ne nous apporteront rien de plus qu’une solution de fortune à un problème plus vaste. La sécurisation de ces progiciels et de ces normes doit être quelque chose que les entreprises et les particuliers reconnaissent comme un intérêt commun et une poursuite qui mérite d’être financée.

Maintenant lis: Une faille de sécurité massive dans Linux éclipse les problèmes de cryptographie d’Apple de la semaine dernière

Bouton retour en haut de la page