Actu

Heartbleed, l'une des pires failles de l'histoire de la sécurité informatique

HBlogo

« Le cœur qui saigne », ou plus communément appelée Heartbleed, est une faille de sécurité informatique dont vous avez du entendre parler ces 7 derniers jours.
Suite à sa découverte annoncée le 7 avril, certains experts en sécurité informatique estiment qu’il s’agit du pire bug depuis ces dix dernières années.
 
 

Qu’est-ce qu’Heartbleed ?

Bande dessinée expliquant le bug Heartbleed (source : xkcd.com)

Sans entrer dans les détails techniques, Heartbleed est une faille touchant le logiciel libre de cryptage « OpenSSL ». Ce dernier est utilisé au quotidien par des centaines de millions d’internautes puisqu’il permet l’échange de données encryptées (personnelles telles qu’identifiant ou encore mot de passe) d’une grande majorité de sites sur la toile : près de 2 tiers dans le monde.

hbmashable
 
 

Quels sont les risques liés à cette faille ?

Voilà plus de 2 ans que la faille existe. Environ 24 mois que tous les sites utilisant la nouvelle version d’OpenSSL publiée en mars 2012 sont vulnérables.

Cet outil, librairie fonctionnant à travers le protocole TLS (Transport Layer Security) est représenté par le petit logo au cadenas indiqué dans le navigateur, permettant la navigation sécurisée (https).

Un pirate avisé peut exploiter cette faille et accéder à n’importe quel mot de passe ou autre donnée personnelle, voire mêmes des conversations ou encore des données bancaires. Il est possible que depuis la découverte officielle de ce problème par des chercheurs finlandais de la société Condominium ainsi que l’un des membres de l’équipe de Google Security, des pirates malintentionnés aient pu profiter de ce bug pour collecter des informations sensibles.

 

Nous sommes quasiment tous concernés…

Cette faille s’est déclarée sur environ 65% des serveurs web dans le monde utilisant OpenSSL.  Cela concerne aussi bien les réseaux sociaux que les sites e-commerce ou encore les sites bancaires. Parmi ces derniers, les géants du web tels que Google, Facebook ou encore Twitter étaient victimes de ce bug.

 

Que peut-on faire face à ce problème ?

Au moment de la découverte de la faille, un grand nombre d’internautes étaient concernés par ce problème et il n’y avait aucun moyen d’y remédier tant qu’aucune action n’avait été engagée par les équipes de sécurité des sites atteints.

D’importants sites tels que Wikipédia, Google, Facebook, Twitter ou encore Yahoo, ont réagi rapidement et ont déclaré avoir installé un patch de sécurité destiné à régler le problème. Certains d’entre eux ont recommandé directement à leurs utilisateurs de changer leur mot de passe.

Afin d’éviter d’être touché par le vol possible de données dérobées depuis mars 2012, il est conseillé de changer son mot de passe sur les sites qui ont fait la mise à jour.

Si vous souhaitez connaître les sites qui ont été affectés par Heartbleed, et pour lesquels il est conseillé de changer votre mot de passe, voici un schéma créé par des experts de LWG Consulting.
 
Sites concernés par la faille sur lesquels il est recommandé de changer son mot de passe - LWG Consulting

Sites concernés par la faille sur lesquels il est recommandé de changer son mot de passe – LWG Consulting

Pour les plus petits sites sur lesquels vous possédez des données personnelles, vous pouvez scanner depuis ce site web n’importe quel service afin de savoir s’il est concerné par ce problème.
S’il ne l’est pas, il est possible qu’il l’ait été à un moment. Dans ce cas il est recommandé de changer votre mot de passe.

haertblledtest6
 
 

La NSA déclare ne pas avoir été au courant de cette faille

nsa7La question qui se pose suite à cet événement qui remet en cause la protection des données utilisateurs est de savoir si cette faille a réellement été exploitée depuis son existence.

Alors que Bloomberg annonce le 12 avril que la NSA était informée de ce bug il y a au moins deux ans et qu’elle l’utilisait secrètement afin de capter des transmissions chiffrées, la Maison Blanche a démenti ces accusations. Dans son communiqué, elle indique que « le gouvernement fédéral n’était pas au courant de la vulnérabilité récemment identifiée dans OpenSSL jusqu’à ce qu’elle ait été rendue publique dans un rapport de cyber-sécurité en provenance du secteur privé ».

Le gouvernement américain spécifie également qu’ils devaient prendre les mesures nécessaires pour remédier à des problèmes majeurs liés aux fonctionnalités de base d’Internet, excepté « si la faille permet de faciliter l’application de la loi »…

 

 

7 Comments

  1. Jean-Claude

    Ouf Fortuneo est en sécurité ! 😉

  2. Marine L.

    Intéressant et facile à comprendre ! Je suis rassurée aussi ma banque n’est pas concernée 😀

  3. Lise

    Merci pour cette infographie récap’! quelle galère tous ces mots de passe à retenir en même tps

    1. Charlie

      Il existe des logiciels qui simplifient la vie pour ça, comme LastPass : https://lastpass.com/
      c’est un module sécurisé qui te permet de centraliser et retenir tous tes mots de passe

  4. Ribz

    Très intéressant!
    En tout cas ce qui est sur, c’est que la nsa doit etre en train de tirer profit de cette faille désormais..

  5. Matt

    hallucinant…

  6. Lou

    Et oui, Big brother…

Leave a Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.