Faille ou porte dérobée : une confusion bien commode

Dans le même temps que Snowden ou l’affaire Gemalto nous révélaient l’emprise de la NSA sur le monde numérique, de nouvelles failles de grande ampleur (Heartbleed, FREAK, POODLE) venaient remettre en cause des briques fondamentales de la cybersécurité.

Porte dérobéeUne faille est, par définition, un vice involontaire de conception. Or dans de nombreuses affaires récentes, il est avéré que la « faille » a été introduite volontairement dans le logiciel incriminé. Cette pratique, porte le nom de « porte dérobée », « backdoor » en anglais. Elle permet à un tiers de contourner les protections d’un logiciel, avec la complicité de l’éditeur.

Une faille peut égratigner une relation de confiance, surtout lorsqu’elle tarde à être corrigée. Elle reste néanmoins une erreur humaine tout à fait normale. Une porte dérobée est bien pire. Elle trahit la malhonnêteté manifeste de l’éditeur, ce qui annihile toute possibilité de confiance, sève de la sécurité. Rien ne prouve qu’une porte dérobée, supprimée avec mille excuses, n’aie pas simplement été cachée ailleurs. D’où l’intérêt pour une entreprise de déclarer comme « faille », toute porte dérobée pas trop flagrante. Une maniére de travestir la malhonnêteté en erreur humaine, ce qui est bien commode.

Les entreprises françaises sont bien peu au fait des dangers des portes dérobées. Elles accordent bien souvent une confiance absolue à des logiciels propriétaires (à « recette » secrète), appartenant à des éditeurs étrangers. Ce qui peut représenter de potentielles fuites de données sensibles vers des pays concurrents.