Temps de lecture

L e nom a de quoi faire paniquer. Heartbleed (pour «coeur qui saigne») est 1 bug detecte dans la nuit du lundi 7 au mardi 8 avril, qui permettrait d’acceder rencontres fessГ©es a une partie des informations stockees sur un grand nombre de serveurs des prestations concernant Internet: sites, mais aussi messageries ou bien encore «dispositifs de mise a jour des smartphones», precise a Slate l’expert reseau Stephane Bortzmeyer.

En pertinent donc, «vos identifiants et mots de passe pourront etre compromis, ainsi que vos echanges chiffres», previent NextINpact. D’autres medias avancent aussi que les numeros de cartes bancaires utilisees sur les sites d’e-commerce peuvent avoir ete subtilises.

Aussi, est-ce le moment de paniquer et de cesser toute sorte d’activite sur Internet?

1. C’est quoi ce bug?

Concretement, la faille Heartbleed affecte un service appele OpenSSL qui permet de chiffrer les communications sur Internet. Ce service reste tres populaire et assure donc, a priori, la confidentialite de vos faits et gestes sur les sites et services qui l’utilisent. Une protection qui s’appuie sur 1 echange secret, explique la page specialise CNet, entre les serveurs du site en question et les internautes:

«Les serveurs internet qui l’utilisent envoient une cle de chiffrement a un visiteur, qui reste ensuite utilisee pour couvrir chacune des autres informations entrant et sortant du serveur.»

La fameuse faille Heartbleed aurait ete creee en 2011 lors en mise a jour du code d’OpenSSL. Elle n’a ete rendue publique que dans la nuit du 7 au 8 avril.

2. Quels sites paraissent concernes?

Pour commencer, seul Yahoo pourrait i?tre concerne avec cette faille parmi les gros bonnets du web, de ceux qui nous viennent immediatement a l’atmosphi?re: «Google, Microsoft, Twitter, Facebook, Dropbox, ainsi, d’autres sites majeurs» seraient ainsi epargnes, explique CNet.

Ca n’empeche nullement en revanche d’autres sites moins massifs de devenir touches. OpenSSL etant tres utilise, cela renforce les dangers de voir ses donnees exposees par tout un tas de services sur Internet. J’ai plateforme de partage d’images Imgur serait ainsi affectee, ainsi que la page de rencontre OkCupid et meme la page du FBI, liste i  nouveau le Guardian.

Depuis que Notre faille a ete rendue publique, des petits outils permettent de verifier si tel ou tel site est concerne via le bug. Prudence neanmoins, previent Stephane Bortzmeyer: ces dispositifs ne semblent nullement completement infaillibles et maintenant que Notre faille est publique, Divers sites pourraient via ailleurs la maintenir volontairement Afin de pieger et identifier d’eventuels attaquants.

3. Que permet ce bug? Faut-il paniquer?

Ardu a reconnai®tre. A l’instar d’une majorite des observateurs et experts du reseau, Stephane Bortzmeyer concede que l’evenement est «serieux», tout en avouant qu’il sera «difficile de synthetiser ce que, concretement, votre bug va permettre ou non.»

Une chose est sure, d’apres lui: cette faille fait voler en eclats l’idee en fonction de laquelle on reste en securite des que l’on apercoit votre petit cadenas a cote de l’URL du site que l’on visite.

Neanmoins, ca n’est pas completement cataclysmique, du moins Afin de l’instant. Pour commencer, l’exploitation de ce bug permettra non pas de siphonner toute la memoire des serveurs d’un site, mais seulement «un bout» (64KB seulement, l’equivalent d’un petit fichier texte, de la image. ), precise i  nouveau l’expert reseau. En plus, l’individu qui profiterait en faille ne peut a priori gui?re controler votre que celui-ci va pecher.

Concretement, l’exploitation du bug a bel et bien permis a des personnes ayant connaissance du bug d’obtenir des identifiants, associes a leurs mots de marche, sur Yahoo. De meme, le Guardian raconte que cette vulnerabilite permet d’avoir 1 apercu des «cookies en derniere personne a avoir visite le serveur affecte», cela «revele des informations personnelles de votre internaute», poursuit le journal anglais. Une conclusion que confirme Stephane Bortzmeyer:

«A ce moment, pas besoin du mot de passe du visiteur, Cela reste possible de se connecter a sa place.»

Si elle n’est nullement impossible en soit, dans la mesure ou une telle faille permettrait de voir l’ensemble du contenu d’une memoire d’un serveur touche, l’interception de numeros de carte bancaire ne parait gui?re avoir ete constatee en commode, poursuit le specialiste reseau. «Il y a une difference entre ce qu’il sera possible de faire et la pratique», previent-il.

En heures qui suivent, les specialistes une securite sur Internet en apprendront certainement davantage via ce que permettra ou non votre vulnerabilite. Or, cette connaissance approfondie peut tout autant confirmer la gravite d’une situation que l’infirmer.

Cette prudence coi»te egalement Afin de les cles de chiffrement utilisees par des serveurs. A en croire Divers experts en securite relayes par la presse, ces cles, qui peuvent permettre a priori de securiser notre passage concernant le serveur d’un site, paraissent egalement compromises. «Des attaquants ont la possibilite de prendre des copies de ces cles», ecrit CNet, quand le Guardian avance que le bug «ne permet pas seulement aux attaquants de lire les donnees chiffrees et confidentielles; il un permet aussi de prendre les cles de chiffrement utilisees pour securiser les donnees».

La bien, precise Stephane Bortzmeyer, aucune preuve formelle n’a ete apportee.

Mise a jour (9 avril 2014, 16h): ce soir nous a informe que votre preuve a ete depuis apportee. Et cela confirme les recommandations donnes au point 4. aux administrateurs des serveurs affectes: reparer le bug mais aussi creer de nouvelles cles de chiffrement.

4. OK, donc je fais quoi?

Concernant le moment, il n’y a pas vraiment de recommandations precis a donner a toutes les internautes inquiets, «si votre n’est ne point choisir Internet, ce qui est un conseil plutot complexe!», reprend Stephane Bortzmeyer. Le Guardian ne evoque d’ailleurs gui?re nouvelle chose, indiquant:

Sachez qu’il ne sert a rien, dans un premier temps libre du reste, de changer ses mots de passe. Si le vol des cles de chiffrement se confirme Par exemple, les attaquants ont la possibilite de aussi s’en servir Afin de «dechiffrer des communications passees voire futures», indique i  nouveau CNet.

Neanmoins, votre changement sera indispensable des que vous vous serez assure que les sites concernes par votre bug ont fait le utile concernant le reparer, ainsi, ne plus en subir les effets a l’avenir.

De votre fait, la responsabilite incombe dans un premier temps aux personnes en charge des serveurs des sites proprement dit, estime Stephane Bortzmeyer. Des specialistes doivent Effectivement faire le utile Afin de reparer votre bug avant de refaire une cle de chiffrement, afin d’eviter toute nouvelle compromission.

Andrea Fradin

Mise a jour le 9 avril 2014 sur l’extraction des cles de chiffrement et les recommandations Afin de s’abriter des effets du bug.