Temps de lecture
L e nom a de quoi faire paniquer. Heartbleed (pour «coeur qui saigne») reste 1 bug detecte dans la nuit du lundi 7 au mardi 8 avril, qui permettrait d’acceder a une partie des precisions stockees sur un grand nombre de serveurs des services concernant Internet: sites, puis messageries ou encore encore «dispositifs de mise a jour des smartphones», precise a Slate l’expert reseau Stephane Bortzmeyer.
En pertinent donc, «vos identifiants et mots de passe ont la possibilite de etre compromis, ainsi que vos echanges chiffres», previent NextINpact. D’autres medias avancent aussi que les numeros de cartes bancaires utilisees i propos des sites d’e-commerce peuvent avoir ete subtilises.
Alors, est-ce le moment de paniquer et de cesser toute sorte d’activite sur Internet?
1. C’est quoi ce bug?
Concretement, la faille Heartbleed affecte une prestation appele OpenSSL qui permet de chiffrer les communications sur Internet. Ce service reste tres populaire et assure donc, a priori, la confidentialite de vos faits et gestes sur les sites et services qui l’utilisent. Une protection qui s’appuie sur un echange secret, explique le website specialise CNet, entre des serveurs du website en question et des internautes:
«Les serveurs internet qui l’utilisent envoient une cle de chiffrement a votre visiteur, qui reste ensuite utilisee pour abriter chacune des autres informations entrant et sortant du serveur.»
La fameuse faille Heartbleed aurait ete creee en 2011 au cours en mise a jour du code d’OpenSSL. Elle n’a ete rendue publique que dans la nuit du 7 au 8 avril.
2. Quels sites sont concernes?
Pour commencer, seul Yahoo serait concerne avec cette faille parmi les gros bonnets du web, de ceux qui nous viennent immediatement a l’esprit: «Google, Microsoft, Twitter, Facebook, Dropbox, et d’autres sites majeurs» seraient ainsi epargnes, explique CNet.
Cela n’empeche gui?re en revanche d’autres sites moins massifs d’etre touches. OpenSSL etant tres utilise, ceci renforce les risques d’observer ses donnees exposees par bien un tas de services sur Internet. Notre plateforme de partage d’images Imgur pourrait etre ainsi affectee, ainsi que la page de rencontre OkCupid et meme le website du FBI, liste bien le Guardian.
Depuis que Notre faille fut rendue publique, des petits outils permettent de verifier si tel ou tel site est concerne via le bug. Prudence neanmoins, previent Stephane Bortzmeyer: ces dispositifs ne semblent jamais completement infaillibles et maintenant que Notre faille est publique, certains sites pourraient via ailleurs la maintenir volontairement Afin de pieger et identifier d’eventuels attaquants.
3. Que permet ce bug? Faut-il paniquer?
Complique a reconnai®tre. A l’identique une majorite des observateurs et experts du reseau, Stephane Bortzmeyer concede que l’evenement est «serieux», bien en avouant que c’est «difficile de synthetiser votre que, concretement, votre bug va permettre ou non.»
Une chose reste sure, d’apri?s lui: une telle faille fera voler en eclats l’idee selon laquelle on est en securite des qu’on apercoit 1 petit cadenas a cote de l’URL du website que l’on visite.
Mais ca n’est pas totalement cataclysmique, du moins pour l’instant. Pour commencer, l’exploitation de votre bug va permettre non pas de siphonner toute la memoire des serveurs d’un site, mais juste «un bout» (64KB juste, l’equivalent tout d’un petit fichier propos, d’une image. ), precise i nouveau l’expert reseau. De surcroi®t, l’individu qui profiterait d’la faille ne peut a priori jamais controler ce que celui-ci va pecher.
Concretement, l’exploitation du bug a bel et bien permis a des personnes ayant connaissance du bug d’obtenir des identifiants, associes a leurs mots de marche, sur Yahoo. De meme, le Guardian raconte que votre vulnerabilite va permettre d’avoir 1 apercu des «cookies d’la derniere personne a avoir visite le serveur affecte», et cela «revele des precisions personnelles de votre internaute», poursuit le journal anglais. Une conclusion que confirme Stephane Bortzmeyer:
«A ce moment la, pas besoin du mot de passe du visiteur, c’est possible de se connecter a sa place.»
Si elle n’est nullement impossible en soit, dans la mesure ou votre faille permettrait de voir l’ensemble du contenu d’une memoire d’un serveur touche, l’interception de numeros de carte bancaire ne parai®t pas avoir ete constatee en commode, poursuit le specialiste reseau. «Il y a une difference entre votre que c’est possible d’effectuer et la pratique», previent-il.
Dans les heures qui suivent, les specialistes d’la securite sur Internet en apprendront certainement davantage sur ce que va permettre ou non votre vulnerabilite. Or, cette connaissance approfondie va tout autant confirmer la gravite une situation que l’infirmer.
Cette prudence coi»te egalement pour des cles de chiffrement employees par nos serveurs. A en croire certains experts en securite relayes par la presse, ces cles, qui permettront a priori de securiser notre passage sur le serveur tout d’un site, seront egalement compromises. «Des attaquants pourront prendre des copies de ces cles», ecrit CNet, quand le Guardian avance que le bug «ne permet pas seulement a toutes les attaquants de lire les informations chiffrees et confidentielles; il un permet aussi de prendre les cles de chiffrement utilisees Afin de securiser les donnees».
La encore, precise Stephane Bortzmeyer, aucune preuve formelle n’a ete apportee.
Mise a jour (9 avril 2014, 16h): votre soir nous a informe que votre preuve a ete depuis apportee. Ce qui confirme les recommandations donnes au point 4. a toutes les administrateurs des serveurs affectes: reparer le bug mais aussi creer de nouvelles cles de chiffrement.
4. OK, donc je fais quoi?
Concernant le moment, il n’y a pas vraiment de astuces precis a donner aux internautes inquiets, «si votre n’est ne pas se servir de Internet, et cela est un conseil plutot Complique!», reprend Stephane Bortzmeyer. Le Guardian ne devoile d’ailleurs pas nouvelle chose, indiquant:
Sachez que celui-ci ne sert a rien, dans un premier temps libre en www.besthookupwebsites.org/fr/sites-de-rencontre-hispaniques/ tout cas, de changer ses mots de passe. Si le vol des cles de chiffrement se confirme Indeniablement, les attaquants vont pouvoir aussi s’en servir Afin de «dechiffrer des communications passees voire futures», indique bien CNet.
Neanmoins, ce changement va etre indispensable des que vous vous serez assure que les sites concernes avec ce bug ont fera le important concernant le reparer, ainsi, ne plus en subir nos effets a l’avenir.
De ce fera, la responsabilite incombe dans un premier temps aux gens en charge des serveurs des e-boutiques en question, estime Stephane Bortzmeyer. Ces derniers doivent Par exemple faire le necessaire pour reparer ce bug avant de refaire une cle de chiffrement, afin d’eviter toute autre compromission.
Andrea Fradin
Mise a jour le 9 avril 2014 concernant l’extraction des cles de chiffrement et les recommandations pour s’abriter des effets du bug.