Heartbleed c’est quoi ?
Heartbleed (“coeur qui saigne”) est une faille affectant le logiciel Open SSL, un programme très utilisé permettant de chiffrer les communications sur Internet. En gros, dès que vous vous connectez sur un site, vous échangez des informations avec un serveur.
Open SSL est censé garantir la confidentialité de ces échanges, notamment lorsque vous vous connectez à un site bancaire ou lorsque vous entrez un mot de passe par exemple. Ces échanges sécurisés sont symbolisés par un petit cadenas à côté de la barre d’adresses du navigateur.
Une serrure qui n’est plus inviolable, selon le site spécialisé CNet :
À voir aussi sur Konbini
[Heartbleed] permet d’intercepter tous les échanges, y compris les plus sensibles : identifiants, mots de passe, numéros de cartes bancaires et tout ce qui est normalement protégé par un chiffrement (brouillage).
Habituellement, la présence d’un cadenas dans la barre d’adresse de votre navigateur est un signe rassurant, mais, si l’on en croit les experts en sécurité, avec la découverte de cette faille, elle ne garantit plus que les échanges sont confidentiels.
Le pire, c’est que cette brèche ne date pas d’hier, puisqu’elle serait apparue “il y a plus de deux ans”, selon PC INpact, avant d’être découverte par les experts en sécurité de Google et les informaticiens de Codenomicon. Ces derniers ont mis en place un site d’information sur le sujet.
Quels sites sont touchés ?
Principalement Yahoo!, selon les chercheurs de Fox IT. Facebook, Tumblr, Google, Twitter, Dropbox et autres géants du web semblent avoir été épargnés. Yahoo! affirme d’ailleurs avoir déjà résolu le problème grâce au correctif mis en ligne hier.
Selon le site Heartbleed, 66% des sites sont potentiellement concernés, mais ce nombre est appelé à diminué au fur et à mesure que les administrateurs appliquent le correctif.
Que faire ?
Pas grand-chose. Le Guardian préconise “d’éviter de s’engager dans des activités sensibles sur Internet” en attendant que tous les serveurs aient corrigé la brèche de sécurité.
Ce qui prendra un certain temps, selon CNet :
Il ne faut pas s’attendre à ce que la faille disparaisse complètement de façon rapide. Si les grosses organisations avec des services techniques sont déjà tous au courant, les propriétaires de petits serveurs qui administrent de façon artisanale leur site pourraient traîner des pieds pour faire le nécessaire, par manque d’informations ou de moyens. D’autre part, certains services abandonnés par leurs administrateurs mais toujours utilisés pourraient rester longtemps impactés par le problème.
D’autre part, le site souligne qu’il ne sert à rien de changer tous ses mots de passe, une manœuvre “inutile voire dangereuse” en raison de la mise à jour massive des serveurs. En attendant, la page Heartbleed Test, mise en ligne par l’internaute Filippo Valsorda, permet de voir quels serveurs sont encore touchés par le bug.
Y a-t-il un bon côté à cette affaire ?
Bof, on ne voit pas trop lequel. Mais les informaticiens de Codenimicon avancent tout de même des avantages à la faille de sécurité Heartbleed :
C’est une bonne opportunité pour les fournisseurs d’accès d’améliorer la sécurité de leurs clés secrètes. Beaucoup de logiciels font des mises à jour qui n’auraient autrement pas été considérées comme urgentes.
Bien que ce soit douloureux pour la communauté de la sécurité informatique, nous pouvons êtres sûrs que les infrastructures des cyber criminels et leurs secrets ont été également exposés.
Un gros mal pour un petit bien, donc.
