Une mésaventure a touché le week-end dernier l’ISRG (Internet Security Research Group), l’organisme gérant le projet Let’s Encrypt, visant à proposer des certificats SSL gratuits aux opérateurs de sites web.
Le 11 juin, certaines personnes ont eu la surprise de recevoir un e-mail d’information de la part de l’ISRG, contenant les adresses d’autres utilisateurs de Let’s Encrypt. Un bug dans le système d’envoi d’e-mails a fait que chaque personne voyait dans son message les adresses des destinataires précédemment joints. La procédure a été stoppée de toute urgence au 7618e courrier, lequel contenait alors les références de tous les destinataires précédents, soit 7617 adresses.
Le problème aurait pu être bien pire, puisque la base d’utilisateurs de Let’s Encrypt compte 383 000 adresses de courrier électronique. Un peu moins de 2 % des utilisateurs a donc reçu un de ses messages. « Si vous avez reçu un de ces courriels, nous vous demandons de ne pas publier de listes d’adresses électroniques au public », demande Josh Aas, directeur exécutif de l’ISRG. Reste que cette bévue fait tache pour une organisation dont le but est de protéger les utilisateurs du Net contre les écoutes et la fuite de leurs données personnelles.
Depuis, un état des lieux a été fait. C’est un morceau de code créé récemment qui est en cause. « Une procédure de test insuffisante est considérée comme la cause de cet incident », conclut le directeur de l’ISRG.
Le logiciel de mailing, jugé moins critique que les autres outils gérés par l’organisation, n’était pas soumis aux mêmes procédures de test et de validation. Une erreur de jugement, puisqu’il manipule des données sensibles. En conséquence, il rejoint aujourd’hui les outils liés aux certifications et subira ainsi des tests qualité d’un niveau équivalent, afin de limiter l’émergence de tout problème futur.
À lire aussi :
Let Encrypt, une autorité de certification gratuite pour chiffrer le Web
Let’s Encrypt : un million de certificats SSL et nouveau nom en vue
HTTPS : OVH se rapproche de Let’s Encrypt
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…