Apache est touché par une faille. Et quand Apache faillit, c'est plus de la moitié du Web mondial qui est menacé : le fameux serveur en open source représente en effet 63 % des sites hébergés dans le monde - selon les statistiques de Netcraft Ltd. Une brèche sur Apache est donc une aubaine pour les hackers, qui pourront grâce à elle prendre le contrôle de certains serveurs Web.

Heureusement, toutes les versions du serveur web ne sont pas gravement menacées : la faille n'est critique que sur un nombre fort limité de versions. Attention toutefois : les utilisateurs des versions 1.x sous Windows 2000 et Windows 2000 Server, ainsi que de certaines versions qui tournent sous Unix 64 bits ont toutes les raisons de s'inquiéter : un pirate expérimenté pourra prendre le contrôle du système sur lequel il est installé.

Interruption de service
Pour le reste, les versions d'Apache qui sont vulnérables ne risquent pas plus qu'une interruption de service. Cette menace touche les versions 1.3, ainsi que toutes les versions 2 supérieures à la 2.0.36. Attention encore : les membres de la communauté open source n'ont pas eu le temps de faire des vérifications exhaustives pour chaque version, et il est encore possible que d'autres déclinaisons d'Apache soient vulnérables.

L'alerte postée par l'Internet Security Systems (ISS) détaille l'aspect technique de cette faille : lorsqu'Apache reçoit des données en provenance de l'internaute, il leur alloue une certaine quantité de mémoire tampon qui permet de les stocker. Le serveur Apache interprète mal la taille de ces paquets de données, ce qui pourrait - au terme d'un processus complexe et difficile à mettre en oeuvre pour un pirate - laisser un code malicieux inflitrer le système.

Manque de coordination
L'alerte est inquiétante en soi. Mais plus inquiétante encore est peut-être l'attitude de la communauté open source suite à cette alerte. Un article particulièrement argumenté de Cnet met en effet en évidence le manque de coordination patent entre les tenants du logiciel libre. ISS a lancé son alerte sans se soucier du travail qu'acomplissait discrètement de son côté la fondation Apache - qui est à l'origine de la création du serveur éponyme. Les responsables de cette organisation ont fait savoir après coup qu'ils travaillaient depuis quelques temps déjà sur cette faille, qui leur a été révélée par un développeur beaucoup plus discret, et qu'ils tentaient avant tout d'en cerner l'étendue.

L'ISS a lancé son alerte et son patch deux heures après avoir prévenu la fondation Apache. Un manque de coordination, qui a aujourd'hui pour conséquence de mettre à mal l'efficacité du correctif, et surtout la justesse de l'information qui l'accompagne. Car comme le souligne un membre fondateur de la fondation Apache, les recherches menées par les créateurs du serveur n'avaient pas encore pris fin. On ne sait toujours pas précisément quelles versions du serveur sont affectées, plate-forme par plate-forme.

L'ISS, qui cherchait selon ses propres déclarations à soustraire au plus vite la brêche des yeux des hackers a donc fait pire que mieux : tous les pirates sont désormais informés qu'une faille existe, quant aux adminstrateurs : "avec le lancement prématuré de l'ISS, beaucoup de serveurs Apache demeurent vulnérables puisqu'ils n'ont pas accès au patch provenant de leur fournisseur Apache" - pouvait on lire sur la liste de diffusion Bugtraq.

Motivations coupables
Simple pêché d'orgueil ? Volonté de la part de l'ISS de se mettre en avant ? Pire encore selon la fondation Apache : l'ISS aurait voulu garder une longueur d'avance sur ses concurrents. Bon nombre d'experts de l'Apache Fondation travaillent en effet dans des entreprises concurrentes de l'ISS. Une situation qui attise les rivalités, qui n'ont théoriquement pas droit de cité dans la communauté open-source. L'un des piliers de l'open source étant en effet le travail collaboratif entre les membres.

Tout n'est pas si rose sur la planète Open Source, et certains se prennent parfois à rêver d'une coordination contre les failles aussi efficace que celle de ... Microsoft. Un espoir coupable qui risque bien d'être déçu, à court terme au moins. Avec tous les effets pervers que cela pourrait avoir : un serveur web doit impérativement fonctionner de pair avec un organisme de correction des failles efficace, sous peine d'être boudé par les administrateurs.