Que sait-on de « Heartbleed », l'inquiétante faille de sécurité sur Internet ?
Vu sur Le Monde.fr | 09.04.2014 à 02h13 • Mis à jour le 09.04.2014 à 17h38 | Par Martin Untersinger
Une faille présente depuis deux ans environ dans le logiciel OpenSSL, utilisé par de nombreux sites, permet d'accéder aux mots de passe, numéros de carte bancaires ou encore à des clés de cryptage.
Une importante faille de sécurité a été découverte, mardi 8 avril, dans un dispositif de protection des données échangées sur Internet utilisé par un nombre très important de sites et de services dans le monde. Elle permet, dans certaines conditions, de récupérer codes et mots de passe.
Où se situe cette faille ?
La faille, découverte au sein du logiciel OpenSSL, a été baptisée « Heartbleed » (« cœur qui saigne ») en référence au mode de fonctionnement du logiciel. Ce dernier est chargé de mettre en œuvre un moyen de protection utilisé quotidiennement par des centaines de millions d'internautes, les protocoles TLS/SSL.
Ces derniers, malgré leur appelation obscure, sont fondamentaux. Ils permettent à votre navigateur Internet d'authentifier la page sur laquelle vous vous connectez, mais surtout de camoufler mots de passe, codes de cartes bancaires et plus généralement toutes les données que vous échangez avec ce site. C'est cette technologie qui est symbolisée par l'affichage de la fameuse icône en forme de cadenas dans la barre de navigation. Outre les sites Web, cette technologie est également utilisée par de nombreux services sur Internet (messageries, applications...).
OpenSSL, installé sur le serveur du site auquel l'internaute se connecte, est un logiciel chargé de mettre en œuvre cette protection. Il s'agit d'un des outils favoris des sites Web : selon le site américain The Verge, deux serveurs sur trois pourraient être concernés. Si la faille ne touche pas toutes les versions du logiciel, elle est vieille d'environ deux ans.
Est-ce que c'est grave ?
Oui. Cette faille permet à d'éventuels pirates de récupérer des informations stockées sur la mémoire des serveurs du site vulnérable. Des informations personnelles censées être inaccessibles et protégées : plusieurs experts sont aisément parvenus à retrouver des mots de passe d'utilisateurs de sites vulnérables.
« Le nombre d'attaques qu'ils peuvent effectuer est sans limite », indique Fox-IT, entreprise spécialisée dans la sécurité informatique. Mais s'il s'agit d'une faille majeure, ses contours précis et sa portée réelle sont encore flous.
Enfin, il est envisageable que les certificats, sorte de clé de voûte de la sécurisation des données par
TLS/SSL, censés être privés et très protégés, aient été rendus accessibles par la faille. Ce qui signifie que même lorsque la faille d'OpenSSL sera corrigée et la nouvelle version appliquée aux sites vulnérables, des assaillants qui ont préalablement intercepté la clé nécessaire au déchiffrement des données protégées seront encore en mesure d'y accéder.
« Ce sont les joyaux de la couronne, les clés de chiffrement elles-mêmes », souligne le site Heartbleed.com. Ces clés « permettent aux pirates de déchiffrer tous les trafics, passés et à venir, vers les services protégés et d'imiter ces services ».
Il est également possible que les « cookies », ces fichiers qui stockent vos identifiants sur un site afin de vous identifier, soient également accessibles, ce qui permet potentiellement à un assaillant de se connecter en votre nom au site en question.
Adam Langley, un informaticien de Google qui a participé à la correction de la faille, est cependant plus mesuré, et explique n'avoir pu accéder lors de ses tests qu'à des informations très parcellaires.
Quels sites sont touchés ?
OpenSSL étant utilisé par un très grand nombre de sites et de services, la faille est très répandue. Cette faille, très importante, a mobilisé d'importantes ressources au sein des grandes entreprises, et nombre d'entre elles ont déployé des correctifs assez rapidement. Des « géants » de l'Internet, seul Yahoo! a été semble-t-il concerné (la faille y a été, depuis, corrigée).
Apple, Google, Microsoft, Facebook et la majorité des sites d'e-commerce et bancaires ne le sont pas – il existe plusieurs manières d'implémenter OpenSSL, ainsi que des systèmes alternatifs, et toutes les versions ne sont pas touchées.
Mais de plus petits sites, traitant des données confidentielles, peuvent mettre davantage de temps à être protégés. Par ailleurs, il faut noter que certains sites, pourtant vulnérables, ne traitent pas d'informations sensibles.
Le site Filippo.io/heartbleed permet de tester si un site est vulnérable ou non. Ouf, nous sommes saufs.
Que faire ?
Dans un monde idéal, il faudrait éviter les activités sensibles (courriels, banque, achats...) sur Internet pendant quelques temps. C'est ce que recommande par exemple un billet publié sur le site de Tor, un système d'anonymisation sur Internet.
Dans un premier temps, pour les utilisateurs lambda, changer de mot de passe est inutile, et peut même être contre-productif. En effet, si la faille d'OpenSSL n'est pas corrigée sur le site, le nouveau mot de passe pourra être visible à son tour. Il faut donc, avant tout, attendre que les responsables des sites vulnérables mettent à jour leurs dispositifs de sécurité. Puis, pour l'utilisateur, relancer le site ou le service pour que ces nouvelles protections s'appliquent.
Il est conseillé de surveiller, dans les prochains jours, les annonces des sites que vous utilisez afin de s'assurer qu'ils prennent les mesures nécessaires. En cas de doute, le site Filippo.io/Heartbleed permet de tester si un site est vulnérable ou non. En revanche, certaines mesures nécessaires ne sont pas détectées par ce site, comme le renouvellements des certificats ou des mots de passe des administrateurs.
Enfin, soyez particulièrement vigileants quant aux courriels que vous recevrez dans les prochains jours. Certains adeptes du phishing (vous faire croire que vous allez sur le site de votre banque, par exemple, alors qu'il s'agit d'un site pirate), pourrait utiliser certaines des données interceptées pour vous cibler.
Aucun commentaire:
Enregistrer un commentaire