Temps de lecture
L e nom a de quoi faire paniquer. Heartbleed (pour «coeur qui saigne») reste votre bug detecte dans la nuit du lundi 7 au mardi 8 avril, qui permettrait d’acceder a une partie des renseignements stockees sur un large panel de serveurs des prestations dans Internet: sites, puis messageries ou encore encore «dispositifs de mise a jour des smartphones», precise a Slate l’expert reseau Stephane Bortzmeyer.
En net donc, «vos identifiants et mots de passe vont pouvoir etre compromis, ainsi que vos echanges chiffres», previent NextINpact. D’autres medias avancent aussi que les numeros de cartes bancaires employees i propos des sites d’e-commerce peuvent avoir ete subtilises.
Alors, est-ce le moment de paniquer et de cesser tous types d’activite sur Internet?
1. C’est quoi ce bug?
Concretement, la faille Heartbleed affecte un service appele OpenSSL qui permet de chiffrer les communications sur Internet. Ce service reste tres populaire et assure donc, a priori, la confidentialite de vos faits et gestes sur les sites et services qui l’utilisent. Une protection qui s’appuie sur un echange secret, explique le website specialise CNet, entre nos serveurs du site proprement dit et des internautes:
«Les serveurs internet qui l’utilisent envoient une cle de chiffrement a votre visiteur, qui est ensuite utilisee Afin de proteger toutes les autres informations entrant et sortant du serveur.»
J’ai fameuse faille Heartbleed aurait ete creee en 2011 lors de la mise a jour du code d’OpenSSL. Elle n’a ete rendue publique que dans https://besthookupwebsites.org/fr/sexfinder-review/ la nuit du 7 au 8 avril.
2. Quels sites sont concernes?
Pour commencer, seul Yahoo serait concerne avec cette faille parmi les gros bonnets du web, de ceux qui nous viennent immediatement a l’esprit: «Google, Microsoft, Twitter, Facebook, Dropbox, et d’autres sites majeurs» seraient ainsi epargnes, explique CNet.
Ca n’empeche pas en revanche d’autres sites moins massifs de devenir touches. OpenSSL etant tres utilise, i§a renforce les dangers de voir ses donnees exposees par tout un tas de services sur Internet. Notre plateforme de partage d’images Imgur pourrait i?tre ainsi affectee, ainsi que le site de rencontre OkCupid et meme le site du FBI, liste encore le Guardian.
Depuis que Notre faille a ete rendue publique, des petits outils permettent de verifier si tel ou tel site est concerne par le bug. Prudence neanmoins, previent Stephane Bortzmeyer: ces dispositifs ne semblent gui?re completement infaillibles et maintenant que J’ai faille est publique, Quelques sites pourraient via ailleurs la maintenir volontairement pour pieger et identifier d’eventuels attaquants.
3. Que va permettre votre bug? Faut-il paniquer?
Complique a reconnai®tre. A l’instar d’la majorite des observateurs et experts du reseau, Stephane Bortzmeyer concede que l’evenement reste «serieux», bien en avouant qu’il sera «difficile de synthetiser votre que, concretement, votre bug va permettre ou non.»
Une chose reste sure, en fonction de lui: cette faille fait voler en eclats l’idee en fonction de laquelle on reste en securite des qu’on apercoit votre petit cadenas a cote de l’URL du website que l’on visite.
Mais ca n’est jamais totalement cataclysmique, du moins Afin de l’instant. Pour commencer, l’exploitation de votre bug permettra non aucun siphonner toute la memoire des serveurs tout d’un site, mais seulement «un bout» (64KB seulement, l’equivalent d’un petit fichier texte, d’une image. ), precise encore l’expert reseau. Encore, l’individu qui profiterait d’une faille ne peut a priori jamais controler ce qu’il va pecher.
Concretement, l’exploitation du bug a bel et bien permis a des personnes ayant connaissance du bug d’offrir plusieurs identifiants, associes a leurs mots de passe, sur Yahoo. De meme, le Guardian raconte que cette vulnerabilite permet d’avoir un apercu des «cookies en derniere personne a avoir visite le serveur affecte», cela «revele des renseignements personnelles de votre internaute», poursuit le journal anglais. Une conclusion que confirme Stephane Bortzmeyer:
«A cet instant, pas besoin du mot de passe du visiteur, il est possible de se connecter a sa place.»
Si elle n’est gui?re impossible en soit, dans la mesure ou une telle faille permettrait de voir l’ensemble du contenu une memoire tout d’un serveur touche, l’interception de numeros de carte bancaire ne semble nullement avoir ete constatee en pratique, poursuit L’expert reseau. «Il y a une difference entre ce que c’est possible de faire et la pratique», previent-il.
Dans les heures qui suivent, les specialistes de la securite sur Internet en apprendront certainement davantage via ce que va permettre ou non cette vulnerabilite. Or, cette connaissance approfondie pourra tout autant confirmer la gravite une situation que l’infirmer.
Cette prudence vaut egalement pour nos cles de chiffrement employees par des serveurs. A en croire certains experts en securite relayes par la presse, ces cles, qui permettent a priori de securiser notre passage via le serveur d’un site, seront egalement compromises. «Des attaquants vont pouvoir prendre des copies de ces cles», ecrit CNet, quand le Guardian avance que le bug «ne permet jamais seulement aux attaquants de lire les precisions chiffrees et confidentielles; il leur permet aussi de prendre les cles de chiffrement employees Afin de securiser nos donnees».
La i nouveau, precise Stephane Bortzmeyer, aucune preuve formelle n’a ete apportee.
Mise a jour (9 avril 2014, 16h): votre soir nous a informe que cette preuve a ete depuis apportee. Ce qui confirme les recommandations donnes au point 4. aux administrateurs des serveurs affectes: reparer le bug mais aussi creer de nouvelles cles de chiffrement.
4. OK, donc je fais quoi?
Pour le moment, il n’y a moyennement de astuces precis a donner aux internautes inquiets, «si ce n’est ne pas utiliser Internet, ce qui est un conseil plutot ardu!», reprend Stephane Bortzmeyer. Le Guardian ne dit d’ailleurs gui?re autre chose, indiquant:
Sachez que celui-ci ne sert a rien, dans un premier temps en tout cas, de remplacer ses mots de passe. Si le vol des cles de chiffrement se confirme Indeniablement, les attaquants peuvent aussi s’en servir pour «dechiffrer nos communications passees voire futures», indique bien CNet.
Neanmoins, votre changement va etre indispensable des que vous vous serez assure que des sites concernes via votre bug ont fera le necessaire pour le reparer, ainsi, ne plus en subir des effets a l’avenir.
De votre fera, la responsabilite incombe dans un premier moment aux individus en charge des serveurs des sites en question, estime Stephane Bortzmeyer. Ces derniers doivent Par exemple faire le utile Afin de reparer votre bug avant de refaire une cle de chiffrement, pour’eviter toute nouvelle compromission.
Andrea Fradin
Mise a jour le 9 avril 2014 concernant l’extraction des cles de chiffrement et les recommandations pour s’abriter des effets du bug.