Temps de lecture
L e nom a de quoi faire paniquer. Heartbleed (Afin de «coeur qui saigne») reste un bug detecte dans la nuit du lundi 7 au jeudi 8 avril, qui permettrait d’acceder a une partie des informations stockees sur un large panel de serveurs des services via Internet: sites, et messageries ou bien bien «dispositifs de mise a jour des smartphones», precise a Slate l’expert reseau Stephane Bortzmeyer.
En clair donc, «vos identifiants et mots de passe peuvent etre compromis, ainsi que vos echanges chiffres», previent NextINpact. D’autres medias avancent aussi que les numeros de cartes bancaires utilisees i propos des sites d’e-commerce peuvent avoir ete subtilises.
Alors, est-ce l’instant de paniquer et de cesser toute sorte d’activite sur Internet?
1. C’est quoi votre bug?
Concretement, la faille Heartbleed affecte un service appele OpenSSL qui permet de chiffrer les communications sur Internet. Ce service reste tres populaire et assure donc, a priori, la confidentialite de vos faits et gestes sur les sites et services qui l’utilisent. Une protection qui s’appuie sur un echange secret, explique la page specialise CNet, entre des serveurs du website proprement dit et des internautes:
«Les serveurs web qui l’utilisent envoient une cle de chiffrement a 1 visiteur, qui est ensuite utilisee Afin de abriter chacune des autres informations entrant et sortant du serveur.»
Notre fameuse faille Heartbleed aurait ete creee en 2011 au cours une mise a jour du code d’OpenSSL. Elle n’a ete rendue publique que dans la nuit du 7 au 8 avril.
2. Quels sites paraissent concernes?
Pour commencer, seul Yahoo serait concerne via une telle faille parmi les gros bonnets du web, de ceux qui nous viennent immediatement a l’atmosphi?re: «Google, Microsoft, Twitter, Facebook, Dropbox, ainsi, d’autres sites majeurs» seraient ainsi epargnes, explique CNet.
Ca n’empeche gui?re en revanche d’autres sites moins massifs de devenir touches. OpenSSL etant tres utilise, cela renforce les dangers d’observer ses donnees exposees par bien un tas de services sur Internet. La plateforme de partage d’images Imgur serait ainsi affectee, ainsi que le blog de rencontre OkCupid et meme le website du FBI, liste i nouveau le Guardian.
Depuis que Notre faille a ete rendue publique, des petits outils permettent de verifier si tel ou tel site est concerne via le bug. Prudence neanmoins, previent Stephane Bortzmeyer: ces dispositifs ne semblent pas completement infaillibles et maintenant que Notre faille reste publique, Quelques sites pourraient via ailleurs la maintenir volontairement Afin de pieger et identifier d’eventuels attaquants.
3. Que va permettre ce bug? Faut-il paniquer?
Difficile a dire. A l’instar d’une majorite des observateurs et experts du reseau, Stephane Bortzmeyer concede que l’evenement reste «serieux», bien en avouant qu’il sera «difficile de synthetiser votre que, concretement, ce bug va permettre ou non.»
Une chose reste sure, d’apres lui: une telle faille fera voler en eclats l’idee selon laquelle on reste en marketing des qu’on apercoit 1 petit cadenas a cote de l’URL du site qu’on visite.
Mais ca n’est nullement totalement cataclysmique, du moins Afin de l’instant. Pour commencer, l’exploitation de votre bug permettra non pas de siphonner toute la memoire des serveurs tout d’un site, mais seulement «un bout» (64KB seulement, l’equivalent d’un petit fichier texte, d’une image. ), precise encore l’expert reseau. De surcroi®t, l’individu qui profiterait de la faille ne peut a priori pas controler ce que celui-ci va pecher.
Concretement, l’exploitation du bug a bel et bien permis a des personnes ayant connaissance du bug d’offrir deux identifiants, associes a leurs mots de passe, sur Yahoo. De meme, le Guardian raconte que votre vulnerabilite va permettre d’avoir 1 apercu des «cookies d’la derniere personne a avoir visite le serveur affecte», et cela «revele des precisions personnelles de cet internaute», poursuit le journal anglais. Une conclusion que confirme Stephane Bortzmeyer:
«A ce moment la, pas besoin du mot de passe du visiteur, il va i?tre possible de se connecter a sa place.»
Si elle n’est pas impossible en soit, dans la mesure ou cette faille permettrait de voir l’ensemble du contenu une memoire tout d’un serveur touche, l’interception de numeros de carte bancaire ne parait nullement avoir ete constatee en fonctionnel, poursuit L’expert reseau. «Il y a une difference entre votre que c’est possible d’effectuer et la pratique», previent-il.
Au sein des heures qui suivent, les specialistes une securite sur Internet en apprendront si»rement davantage via votre que permettra ou non une telle vulnerabilite. Or, cette connaissance approfondie va bien aussi bien confirmer la gravite d’la situation que l’infirmer.
Cette prudence coi»te egalement pour des cles de chiffrement utilisees par les serveurs. A en croire certains experts en securite relayes par la presse, ces cles, qui permettent a priori de securiser notre passage sur le serveur tout d’un site, paraissent egalement compromises. «Des attaquants pourront prendre des copies des cles», ecrit CNet, quand le Guardian avance que le bug «ne permet nullement seulement a toutes les attaquants de lire les donnees chiffrees et confidentielles; il leur permet aussi de prendre les 
cles de chiffrement employees Afin de securiser des donnees».
La bien, precise Stephane Bortzmeyer, aucune preuve formelle n’a ete apportee.
Mise a jour (9 avril 2014, 16h): ce soir nous a informe que une telle preuve a ete depuis apportee. Et cela confirme les recommandations donnes au point 4. a toutes les administrateurs des serveurs affectes: reparer le bug et creer de nouvelles cles de chiffrement.
4. OK, donc je fais quoi?
Pour le moment, il n’y a pas vraiment de recommandations precis a donner aux internautes inquiets, «si votre n’est ne point utiliser Internet, ce qui est un conseil plutot Complique!», reprend Stephane Bortzmeyer. Notre Guardian ne devoile d’ailleurs nullement nouvelle chose, indiquant:
Sachez que celui-ci ne sert a pas grand chose, dans un premier moment en tout cas, de changer ses mots de marche. Si le vol des cles de chiffrement se confirme Effectivement, les attaquants vont pouvoir aussi s’en servir Afin de «dechiffrer les communications passees voire futures», indique i nouveau CNet.
Neanmoins, votre changement sera indispensable des que vous vous serez assure que les sites concernes via votre bug ont fera le utile concernant le reparer, et ne plus en subir des effets a l’avenir.
De votre fait, la responsabilite incombe dans un premier temps aux personnes en charge des serveurs des sites en question, estime Stephane Bortzmeyer. Ces derniers doivent en effet faire le utile Afin de reparer votre bug avant de refaire une cle de chiffrement, pour’eviter toute autre compromission.
Andrea Fradin
Mise a jour le 9 avril 2014 sur l’extraction des cles de chiffrement et les conseils Afin de s’abriter des effets du bug.
