Temps de lecture
L e nom a de quoi faire paniquer. Heartbleed (pour «coeur qui saigne») est un bug detecte dans la nuit du lundi 7 au mardi 8 avril, qui permettrait d’acceder a une partie des informations stockees sur un large panel de serveurs des prestations concernant Internet: sites, et messageries ou bien i nouveau «dispositifs de mise a jour des smartphones», precise a Slate l’expert reseau Stephane Bortzmeyer.
En net donc, «vos identifiants et mots de marche ont la possibilite de etre compromis, ainsi que vos echanges chiffres», previent NextINpact. D’autres medias avancent aussi que les numeros de cartes bancaires utilisees i propos des sites d’e-commerce peuvent avoir ete subtilises.
Aussi, est-ce l’instant de paniquer ainsi que cesser toute sorte d’activite sur Internet?
1. C’est quoi votre bug?
Concretement, la faille Heartbleed affecte sites des rencontres geek gratuits une prestation appele OpenSSL qui permet de chiffrer les communications sur Internet. Ce service reste tres populaire et assure donc, a priori, la confidentialite de vos faits et gestes sur les sites et services qui l’utilisent. Une protection qui s’appuie sur votre echange secret, explique la page specialise CNet, entre des serveurs du site en question et nos internautes:
«Les serveurs internet qui l’utilisent envoient une cle de chiffrement a votre visiteur, qui est ensuite utilisee pour couvrir l’integralite des autres informations entrant et sortant du serveur.»
Notre fameuse faille Heartbleed aurait ete creee en 2011 au cours en mise a jour du code d’OpenSSL. Elle n’a ete rendue publique que dans la nuit du 7 au 8 avril.
2. Quels sites paraissent concernes?
Pour commencer, seul Yahoo pourrait etre concerne via une telle faille parmi les gros bonnets du internet, de ceux qui nous viennent immediatement a l’atmosphi?re: «Google, Microsoft, Twitter, Facebook, Dropbox, et d’autres sites majeurs» seraient ainsi epargnes, explique CNet.
Cela n’empeche gui?re en revanche d’autres sites moins massifs de devenir touches. OpenSSL etant tres utilise, ceci renforce les risques d’observer ses donnees exposees par tout un tas de services sur Internet. J’ai plateforme de partage d’images Imgur pourrait etre ainsi affectee, ainsi que le blog de rencontre OkCupid et meme la page du FBI, liste encore le Guardian.
Depuis que Notre faille a ete rendue publique, des petits outils permettent de verifier si tel ou tel site est concerne par le bug. Prudence neanmoins, previent Stephane Bortzmeyer: ces dispositifs ne semblent gui?re completement infaillibles et maintenant que Notre faille est publique, certains sites pourraient avec ailleurs la maintenir volontairement Afin de pieger et identifier d’eventuels attaquants.
3. Que permet ce bug? Faut-il paniquer?
Complexe a affirmer. A l’identique d’la majorite des observateurs et experts du reseau, Stephane Bortzmeyer concede que l’evenement est «serieux», bien en avouant qu’il est «difficile de synthetiser ce que, concretement, ce bug va permettre ou non.»
Une chose est sure, en fonction de lui: cette faille fait voler en eclats l’idee d’apres laquelle on reste en securite des qu’on apercoit votre petit cadenas a cote de l’URL du site que l’on visite.
Mais la situation n’est gui?re completement cataclysmique, du moins pour l’instant. Pour commencer, l’exploitation de ce bug permet non aucune siphonner toute la memoire des serveurs d’un site, mais juste «un bout» (64KB juste, l’equivalent d’un petit fichier propos, de la image. ), precise i nouveau l’expert reseau. En plus, l’individu qui profiterait d’une faille ne peut a priori gui?re controler votre qu’il va pecher.
Concretement, l’exploitation du bug a bel et bien permis a des personnes ayant connaissance du bug d’avoir deux identifiants, associes a leurs mots de marche, sur Yahoo. De meme, le Guardian raconte que cette vulnerabilite va permettre d’avoir un apercu des «cookies de la derniere personne a avoir visite le serveur affecte», cela «revele des precisions personnelles de votre internaute», poursuit le journal anglais. Une conclusion que confirme Stephane Bortzmeyer:
«A cet instant precis, inutile du mot de passe du visiteur, c’est possible de se connecter a sa place.»
Si elle n’est jamais impossible en soit, dans la mesure ou votre faille permettrait de voir l’ensemble du contenu une memoire tout d’un serveur touche, l’interception de numeros de carte bancaire ne parait jamais avoir ete constatee en commode, poursuit L’expert reseau. «Il y a une difference entre ce qu’il sera possible de faire et la pratique», previent-il.
Au sein des heures qui suivent, les specialistes une securite sur Internet en apprendront si»rement davantage via ce que permet ou non une telle vulnerabilite. Or, cette connaissance approfondie est en mesure de bien autant confirmer la gravite une situation que l’infirmer.
Cette prudence vaut egalement pour des cles de chiffrement utilisees par les serveurs. A en croire plusieurs experts en securite relayes par la presse, ces cles, qui permettront a priori de securiser une passage via le serveur tout d’un site, paraissent egalement compromises. «Des attaquants vont pouvoir prendre des copies de ces cles», ecrit CNet, quand le Guardian avance que le bug «ne permet jamais seulement a toutes les attaquants de lire les donnees chiffrees et confidentielles; il un permet aussi de prendre les cles de chiffrement utilisees pour securiser des donnees».
La bien, precise Stephane Bortzmeyer, aucune preuve formelle n’a ete apportee.
Mise a jour (9 avril 2014, 16h): votre dernier nous a informe que une telle preuve fut depuis apportee. Ce qui confirme les conseils donnes au point 4. a toutes les administrateurs des serveurs affectes: reparer le bug puis creer de nouvelles cles de chiffrement.
4. OK, donc je fais quoi?
Pour le moment, il n’y a pas vraiment de astuces precis a donner aux internautes inquiets, «si votre n’est ne point se servir de Internet, ce qui est un conseil plutot complexe!», reprend Stephane Bortzmeyer. Le Guardian ne dit d’ailleurs pas nouvelle chose, indiquant:
Sachez qu’il ne sert a que dalle, dans un premier temps du reste, de remplacer ses mots de marche. Si le vol des cles de chiffrement se confirme Indeniablement, les attaquants pourront aussi s’en servir pour «dechiffrer des communications passees voire futures», indique i nouveau CNet.
Neanmoins, ce changement sera indispensable des que vous vous serez assure que des sites concernes avec votre bug ont fera le important pour le reparer, ainsi, ne plus en subir les effets a l’avenir.
De votre fera, la responsabilite incombe dans un premier moment aux gens en charge des serveurs des e-boutiques en question, estime Stephane Bortzmeyer. Des specialistes doivent en effet Realiser le important Afin de reparer votre bug avant de refaire une cle de chiffrement, afin d’eviter toute nouvelle compromission.
Andrea Fradin
Mise a jour le 9 avril 2014 concernant l’extraction des cles de chiffrement et les recommandations pour se proteger des effets du bug.