Alors que l’univers avait les yeux tournes vers Windows XP, l’apocalypse a bien failli venir d’une technologie bien moins connue du grand public: OpenSSL, 1 protocole largement utilise sur internet pour crypter le trafic Web. Mais si le pire a ete evite, la prudence est de mise.
OpenSSL, c’est quoi?
Vous voyez votre petit cadenas, accompagne de «https», a gauche de la adresse Web, entre autres sur Yahoo.fr? Ca signifie que le trafic echange entre votre PC et le serveur est crypte, surtout pour couvrir des renseignements confidentielles comme un mot de passe ou un numero de carte bancaire. OpenSSL reste une technologie open source utilisee par quantite de sites pour implementer les deux protocoles de cryptage les plus communs, SSL et TLS.
Qu’est-ce qui saigne?
Le bug a ete baptise «heartbleed» (c?ur qui saigne) par ceux qui l’ont trouve, des chercheurs finlandais de Codenomicon et une equipe de Google Security. Cela s’agit d’un defaut de conception qui permet a une personne tierce de recuperer des precisions. A sa base, la requete «heartbeat» verifie que la connexion avec un serveur sera alors active, comme une sorte de «ping». Mais en ajoutant des parametres, i la place de repondre un simple «pong», le serveur crache des informations stockees dans sa memoire vive: login, mot de passe, numero de carte bleue etc. Pire, les cles de cryptage utilisees par le blog ont la possibilite de meme etre obtenues. Selon l’expert Bruce Schneier, la faille reste «catastrophique».
Combien de blogs seront concernes?
Beaucoup. Suivant les experts, environ deux tiers des serveurs Web utilisent OpenSSL, en particulier ceux sous Apache ou Nginx. La faille ne concerne cependant qu’une version recente, de 2011. Selon Netcraft, au moins un demi-million de sites seront touches. Il parait que Google, Facebook, Microsoft, Twitter, Amazon ou Dropbox n’aient pas ete concernes (ou qu’ils aient bouche la faille avant l’annonce publique). Mes sites de Yahoo, Imgur, OkCupid, KickAss Torrent et du FBI, en revanche, etaient vulnerables.
Le probleme corrige, la mise a jour en cours de deploiement
Mes chercheurs ont travaille avec OpenSSL, ainsi, un patch a besthookupwebsites.org/fr/sites-de-rencontres-militaires/ ete deploye lundi jour. Mes administrateurs Web doivent mettre a jour un serveur a J’ai derniere version (OpenSSL 1.0.1g). Divers geants du Net, comme les aiguilleurs de trafic Akamai et CloudFlare, ont visiblement ete prevenus en avance et l’ont deja fera. D’autres, comme Yahoo, l’ont decouvert mardi matin et ont update leurs systemes en urgence.
Potentiellement, un probleme de long terme
Il y a 2 problemes. D’abord, on ne sait nullement si la faille a ete exploitee avant qu’elle ne soit rendue publique. Surtout, un site n’a aucun moyen de savoir si ses serveurs ont «saigne» des donnees par le passe. Selon l’expert en securite Michael Kreps, si des hackers ont reussi a derober des cles de cryptage, ils pourront nos utiliser prochainement. Pour proteger ses utilisateurs, un blog doit deposer de nouvelles cles et renouveler le certificat de securite, ce qui coute souvent de l’argent.
Que Realiser Afin de l’utilisateur?
Pas grand chose. Le reseau TOR, qui permet de surfer anonymement, conseille a ses utilisateurs «de ne point choisir Internet pendant quelques jours», moyen que le patch soit applique partout. Cet outil va permettre d’essayer si un site est vulnerable, mais il ne roule nullement Afin de tous. En cas de resultat positif, il ne va falloir surtout gui?re rentrer ses precisions de connexion. Il semble enfin probable que au sein des prochains temps, des geants comme Yahoo conseillent de reinitialiser son mot de passe. Selon Divers experts, plus coi»te tarder 48h, pour ne pas rentrer 1 nouveau commentaire de passe dans un blog bien non patche.