|

Heartbleed, la faille sanglante du web

Pays : France

Tags : Heartbleed

Elle porte bien son nom, cette faille de sécurité, Heartbleed. Pouvant mettre à nu les identifiants et mots de passe d'internautes fréquentant de nombreux sites mainstream (Google, Yahoo ou Tumblr pour ne citer qu’eux), elle va certainement pousser bien des utilisateurs à un regain de méfiance. Focus sur ce boulevard inédit offert aux hackers.

Les virus, failles de sécurité et failles d’internautes sont monnaies courantes. Dans la plupart des cas, c’est le clic de trop qui vous installe un trojan, spyware, malware, phishing et autres réjouissances. Mais on ne veut et on ne va pas vous apprendre dans ce cas à prendre vos précautions.

 

"Ce sont les joyaux de la couronne, les clés de cryptage elles-mêmes"

heartbleed.com, site détaillant les caractéristiques de la faille (en anglais) - 09/04/2014

 

Parce que justement, avec Heartbleed, il n’y a pas de protection possible : ce n’est pas un virus, mais une faille. Dans laquelle les hackers peuvent s’engouffrer pour forcer les serveurs de site sécurisé à leur envoyer -décryptés- les logins, mots de passe ou clés de cryptage. Et, par la suite, à usurper l'identité d'internautes et de services web.

 

Rien ne sert de sortir couvert

Heartbleed, c’est le cœur même de qui vous semblait acquis et sécurisé - vos données bancaires, l’accès à vos réseaux sociaux - qui finit par saigner et faillir. Et vous n’y êtes pour rien, pour une fois : vous n’avez pas réglé vos achats sur internet via un obscur service bancaire chinois. Et vous n’avez pas non plus répondu à cet étrange mail de gmail@gmail.xxx vous demandant une réinitialisation de mot de passe. Un système d’exploitation et un antivirus à jour ou un firewall méticuleusement configuré ne vous mettront pas à l’abri.

 

Tout est parti d’un défaut de certaines versions d'OpenSSL, un logiciel libre utilisé pour les connexions sécurisées sur internet. Il est visible par tous sur les sites sécurisés en un discret "s" complétant le traditionnel "http" ("https"). Il est présent sur Facebook, Gmail, Paypal ou les sites de vos comptes en ligne. Et c’est ce logiciel qui permet de masquer et de crypter vos mots de passe que vous envoyez forcément pour vous connecter à vos comptes. Sur ce site, vous pourrez voir des captures de logins et comptes Yahoo en clair, obtenus par Mark Loman, un chercheur néerlandais : Heartbleed n’est pas une fausse alerte, même si on ne sait pas pour le moment si cette faille a été exploitée par des pirates. Près d'un demi-million de sites pourraient être affectés par cette vulnérabilité.

 

Pour ceux qui veulent en savoir plus sur le fonctionnement du SSL, de l'https et d'Heartbleed : une vidéo didactique en anglais et un dossier plus technique sur zdnet.

 

Evitez d'utiliser Internet pendant quelques jours...

Projet Tor, blog.torproject.org/ - 09/04/2014

Et maintenant ?

Les sites doivent corriger cette faille, la plupart l’ont déjà fait grâce au correctif publié par OpenSSL le 7 avril. Vous pouvez consulter les listes de sites touchés ou non sur Cent.com et Mashable.com. Si vous souhaitez tester les serveurs des sites que vous fréquentez régulièrement, c’est par là, sur le site de filippo.io. De votre côté, pas d’autre choix, ni d’autre alternative que de changer vos mots de passe.

 

Dernière chose pour vous rassurer... ou pas : si aujourd’hui la faille est à jour, grâce notamment à Neel Mehta, un chercheur de Google Security, sachez qu’elle existe depuis décembre 2011

Dernière màj le 8 décembre 2016