Temps de lecture
L e nom a de quoi faire paniquer. Heartbleed (pour «coeur qui saigne») reste un bug detecte dans la nuit du lundi 7 au jeudi 8 avril, qui permettrait d’acceder a une partie des renseignements stockees sur un grand nombre de serveurs des prestations concernant Internet: sites, et messageries ou bien i nouveau «dispositifs de mise a jour des smartphones», precise a Slate l’expert reseau Stephane Bortzmeyer.
En clair donc, «vos identifiants et mots de passe pourront etre compromis, ainsi que vos echanges chiffres», previent NextINpact. D’autres medias avancent aussi que les numeros de cartes bancaires employees sur les sites d’e-commerce peuvent avoir ete subtilises.
Aussi, est-ce le moment de paniquer et de cesser tous types d’activite sur Internet?
1. C’est quoi votre bug?
Concretement, la faille Heartbleed affecte une prestation appele OpenSSL qui permet de chiffrer les communications sur Internet. Ce service est tres populaire et assure donc, a priori, la confidentialite de vos faits et gestes i propos des sites et services qui l’utilisent. Une protection qui s’appuie sur 1 echange secret, explique la page specialise CNet, entre les serveurs du website proprement dit et des internautes:
«Les serveurs internet qui l’utilisent envoient une cle de chiffrement a un visiteur, qui est ensuite utilisee Afin de couvrir toutes les autres informations entrant et sortant du serveur.»
La fameuse faille Heartbleed aurait ete creee en 2011 au cours en mise a jour du code d’OpenSSL. Elle n’a ete rendue publique que dans la nuit du 7 au 8 avril.
2. Quels sites paraissent concernes?
Pour commencer, seul Yahoo serait concerne par cette faille parmi les gros bonnets du internet, de ceux qui nous viennent immediatement a l’esprit: «Google, Microsoft, Twitter, Facebook, Dropbox, et d’autres sites majeurs» seraient ainsi epargnes, explique CNet.
Cela n’empeche jamais en revanche d’autres sites moins massifs d’etre touches. OpenSSL etant tres utilise, ceci renforce les dangers d’observer ses donnees exposees par bien un tas de services sur Internet. La plateforme de partage d’images Imgur pourrait etre ainsi affectee, ainsi que la page de rencontre OkCupid et meme le blog du FBI, liste bien le Guardian.
Depuis que la faille a ete rendue publique, des petits outils permettent de verifier si tel ou tel site est concerne par le bug. Prudence neanmoins, previent Stephane Bortzmeyer: ces dispositifs ne sont pas completement infaillibles et maintenant que la faille est publique, Quelques sites pourraient avec ailleurs la maintenir volontairement pour pieger et identifier d’eventuels attaquants.
3. Que permet votre bug? Faut-il paniquer?
Complexe a reconnai®tre. A l’identique une majorite des observateurs et experts du reseau, Stephane Bortzmeyer concede que l’evenement reste «serieux», bien en avouant qu’il sera «difficile de synthetiser votre que, concretement, votre bug va permettre ou non.»
Une chose est sure, d’apres lui: une telle faille fait voler en eclats l’idee d’apres laquelle on est en securite des que l’on apercoit 1 petit cadenas a cote de l’URL du website que l’on visite.
Mais ca n’est pas completement cataclysmique, du moins pour l’instant. Pour commencer, l’exploitation de votre bug permettra non pas de siphonner toute la memoire des serveurs tout d’un site, mais seulement «un bout» (64KB seulement, l’equivalent tout d’un petit fichier post, d’une image. ), precise bien l’expert reseau. De plus, l’individu qui profiterait d’une faille ne spotted peut a priori jamais controler votre qu’il va pecher.
Concretement, l’exploitation du bug a bel et bien permis a des personnes ayant connaissance du bug d’avoir des identifiants, associes a leurs mots de passe, sur Yahoo. Ainsi, le Guardian raconte que votre vulnerabilite va permettre d’avoir un apercu des «cookies une derniere personne a avoir visite le serveur affecte», et cela «revele des informations personnelles de cet internaute», poursuit le journal anglais. Une conclusion que confirme Stephane Bortzmeyer:
«A ce moment, pas besoin du mot de passe du visiteur, c’est possible de se connecter a sa place.»
Si elle n’est jamais impossible en soit, dans la mesure ou une telle faille permettrait de voir l’ensemble du contenu une memoire d’un serveur touche, l’interception de numeros de carte bancaire ne parait nullement avoir ete constatee en commode, poursuit L’expert reseau. «Il y a une difference entre votre que c’est possible d’effectuer et la pratique», previent-il.
En heures qui suivent, les specialistes d’une securite sur Internet en apprendront certainement davantage sur ce que permet ou non une telle vulnerabilite. Or, cette connaissance approfondie est en mesure de bien autant confirmer la gravite d’la situation que l’infirmer.
Cette prudence vaut egalement Afin de nos cles de chiffrement utilisees par des serveurs. A en croire plusieurs experts en securite relayes par la presse, ces cles, qui permettront a priori de securiser une passage concernant le serveur d’un site, sont egalement compromises. «Des attaquants peuvent prendre des copies des cles», ecrit CNet, quand le Guardian avance que le bug «ne permet nullement seulement aux attaquants de lire les donnees chiffrees et confidentielles; il leur permet aussi de prendre les cles de chiffrement utilisees Afin de securiser nos donnees».
La i nouveau, precise Stephane Bortzmeyer, aucune preuve formelle n’a ete apportee.
Mise a jour (9 avril 2014, 16h): ce soir nous a informe que votre preuve a ete depuis apportee. Ce qui confirme les recommandations donnes au point 4. a toutes les administrateurs des serveurs affectes: reparer le bug et creer de nouvelles cles de chiffrement.
4. OK, donc je fais quoi?
Concernant le moment, il n’y a moyennement de conseils precis a donner a toutes les internautes inquiets, «si ce n’est ne point choisir Internet, ce qui est un conseil plutot complexe!», reprend Stephane Bortzmeyer. Le Guardian ne dit d’ailleurs jamais nouvelle chose, indiquant:
Sachez que celui-ci ne sert a pas grand chose, dans un premier moment du reste, de changer ses mots de passe. Si le vol des cles de chiffrement se confirme Par exemple, les attaquants ont la possibilite de aussi s’en servir Afin de «dechiffrer les communications passees voire futures», indique i nouveau CNet.
Neanmoins, votre changement est indispensable des que vous vous serez assure que les sites concernes avec ce bug ont fera le necessaire pour le reparer, ainsi, ne plus en subir des effets a l’avenir.
De ce fait, la responsabilite incombe dans un premier moment aux individus en charge des serveurs des e-boutiques proprement dit, estime Stephane Bortzmeyer. Des specialistes doivent Dans les faits Realiser le important pour reparer ce bug avant de refaire une cle de chiffrement, pour’eviter toute nouvelle compromission.
Andrea Fradin
Mise a jour le 9 avril 2014 dans l’extraction des cles de chiffrement et les conseils pour s’abriter des effets du bug.