Alors que individu avait les yeux tournes vers Windows XP, l’apocalypse a bien failli venir de la technologie bien moins connue du grand public: OpenSSL, un protocole largement utilise en ligne Afin de crypter le trafic Web. Mais si le pire a ete evite, la prudence demeure de mise.

OpenSSL, c’est quoi?

Vous voyez ce petit cadenas, accompagne de «https», a gauche d’une adresse Web, pourquoi pas dans Yahoo.fr? Ca signifie que le trafic echange entre votre PC et le serveur est crypte, notamment pour proteger des precisions confidentielles comme un mot de passe ou un numero de carte bancaire. OpenSSL est une technologie open source utilisee via maints sites pour implementer les deux protocoles de cryptage des plus communs, SSL et TLS.

Qu’est-ce qui saigne?

Notre bug a ete baptise «heartbleed» (c?ur qui saigne) via ceux qui l’ont decouvert, des chercheurs comment utiliser sparky finlandais de Codenomicon et une equipe de Google Security. Il s’agit d’un defaut de conception qui permet a un individu tierce de denicher des informations. A votre base, la requete «heartbeat» verifie que la connexion avec votre serveur sera alors active, comme une sorte de «ping». Mais en ajoutant des parametres, i  la place de repondre un simple «pong», le serveur crache des precisions stockees au sein d’ sa memoire vive: login, mot de passe, numero de carte bleue etc. Pire, les cles de cryptage utilisees par la page vont pouvoir meme etre obtenues. Selon l’expert Bruce Schneier, la faille reste «catastrophique».

Combien de sites seront concernes?

Beaucoup. Par rapport aux experts, plus de deux tiers des serveurs Web utilisent OpenSSL, en particulier ceux sous Apache ou Nginx. Notre faille ne concerne malgre tout qu’une version recente, de 2011. Selon Netcraft, bien un demi-million de sites paraissent touches. Il parait que Google, Facebook, Microsoft, Twitter, Amazon ou Dropbox n’aient nullement ete concernes (ou qu’ils aient bouche la faille avant l’annonce publique). Les sites de Yahoo, Imgur, OkCupid, KickAss Torrent et du FBI, en revanche, etaient vulnerables.

Le souci corrige, la mise a jour en cours de deploiement

Les chercheurs ont travaille avec OpenSSL, et un patch fut deploye lundi apri?m. Les administrateurs Web doivent mettre a jour leur serveur a Notre derniere version (OpenSSL 1.0.1g). Plusieurs geants du Net, comme les aiguilleurs de trafic Akamai et CloudFlare, ont visiblement ete prevenus en avance et l’ont deja fait. D’autres, comme Yahoo, l’ont decouvert jeudi matin et ont update leurs systemes en urgence.

Potentiellement, votre probleme de long terme

Il existe 2 problemes. D’abord, on ne sait nullement si la faille fut exploitee avant qu’elle ne soit rendue publique. Surtout, un blog n’a aucun moyen de savoir si ses serveurs ont «saigne» des precisions par le passe. Selon l’expert en securite Michael Kreps, si des hackers ont reussi a derober des cles de cryptage, ils pourront nos se servir de prochainement. Pour couvrir ses utilisateurs, un site doit deposer de nouvelles cles et renouveler son certificat de securite, ce qui coute souvent de l’argent.

Que Realiser pour l’utilisateur?

Pas grand chose. Le reseau TOR, qui permet de surfer anonymement, conseille a ses utilisateurs «de ne point se servir de Internet pendant plusieurs jours», le temps que le patch soit applique partout. Cet outil permet d’essayer si un blog est vulnerable, mais il ne marche pas pour l’ensemble de. En cas de resultat positif, il ne faut surtout pas rentrer ses renseignements de connexion. Il va i?tre enfin probable que dans les prochains journees, des geants comme Yahoo conseillent de reinitialiser son mot de passe. Selon certains experts, mieux coi»te recevoir 48h, De sorte i  ne point rentrer votre nouveau mot de passe via un site encore non patche.