Temps de lecture

L e nom a de quoi faire paniquer. Heartbleed (pour «coeur qui saigne») reste 1 bug detecte dans la nuit du lundi 7 au jeudi 8 avril, qui permettrait d’acceder a une partie des precisions stockees sur un grand nombre de serveurs des prestations via Internet: sites, et messageries ou bien i  nouveau «dispositifs de mise a jour des smartphones», precise a Slate l’expert reseau Stephane Bortzmeyer.

En pertinent donc, «vos identifiants et mots de marche pourront etre compromis, ainsi que vos echanges chiffres», previent NextINpact. D’autres medias avancent aussi que les numeros de cartes bancaires utilisees i  propos des sites d’e-commerce peuvent avoir ete subtilises.

Alors, est-ce l’instant de paniquer et de cesser toute sorte d’activite sur Internet?

1. C’est quoi ce bug?

Concretement, la faille Heartbleed affecte une prestation appele OpenSSL qui permet de chiffrer les communications sur Internet. Ce service reste tres populaire et assure donc, a priori, la confidentialite de vos faits et gestes sur les sites et services qui l’utilisent. Une protection qui s’appuie sur un echange secret, explique le site specialise CNet, entre nos serveurs du website en question et les internautes:

«Les serveurs internet qui l’utilisent envoient une cle de chiffrement a votre visiteur, qui reste ensuite utilisee Afin de couvrir l’ensemble des autres informations entrant et sortant du serveur.»

La fameuse faille Heartbleed aurait ete creee en 2011 lors une mise a jour du code d’OpenSSL. Elle n’a ete rendue publique que dans la nuit du 7 au 8 avril.

2. Quels sites seront concernes?

Pour commencer, seul Yahoo pourrait etre concerne avec une telle faille parmi les gros bonnets du internet, de ceux qui nous viennent immediatement a l’atmosphi?re: «Google, Microsoft, Twitter, Facebook, Dropbox, ainsi, d’autres sites majeurs» seraient ainsi epargnes, explique CNet.

Ca n’empeche pas en revanche d’autres sites moins massifs de devenir touches. OpenSSL etant tres utilise, ceci renforce les dangers de voir ses donnees exposees par tout un tas de services sur Internet. Notre plateforme de partage d’images Imgur pourrait i?tre ainsi affectee, ainsi que le website de rencontre OkCupid et meme le site du FBI, liste bien le Guardian.

Depuis que Notre faille a ete rendue publique, des petits outils permettent de verifier si tel ou tel site est concerne avec le bug. Prudence neanmoins, previent Stephane Bortzmeyer: ces dispositifs ne sont jamais completement infaillibles et maintenant que la faille reste publique, plusieurs sites pourraient via ailleurs la maintenir volontairement Afin de pieger et identifier d’eventuels attaquants.

3. Que permet votre bug? Faut-il paniquer?

Complexe a dire. A l’identique d’la majorite des observateurs et experts du reseau, Stephane Bortzmeyer concede que l’evenement reste «serieux», tout en avouant que c’est «difficile de synthetiser votre que, concretement, ce bug va permettre ou non.»

Une chose reste sure, d’apres lui: votre faille fait voler en eclats l’idee d’apri?s laquelle on est en marketing des que l’on apercoit votre petit cadenas a cote de l’URL du site qu’on visite.

Mais ca n’est gui?re completement cataclysmique, du moins pour l’instant. Pour commencer, l’exploitation de ce bug permettra non aucune siphonner toute la memoire des serveurs tout d’un site, mais juste «un bout» (64KB juste, l’equivalent tout d’un petit fichier texte, de la image. ), precise encore l’expert reseau. Encore, l’individu qui profiterait de la faille ne peut a priori gui?re controler ce que celui-ci va pecher.

Concretement, l’exploitation du bug a bel et bien permis a des personnes ayant connaissance du bug d’avoir plusieurs identifiants, associes a leurs mots de marche, sur Yahoo. De meme, le Guardian raconte que une telle vulnerabilite permet d’avoir un apercu des «cookies en derniere personne a avoir visite le serveur affecte», cela «revele des renseignements personnelles de cet internaute», poursuit le journal anglais. Une conclusion que confirme Stephane Bortzmeyer:

«A ce moment la, inutile du mot de passe du visiteur, Il semble possible de se connecter a sa place.»

Si elle n’est pas impossible en soit, dans la mesure ou cette faille permettrait d’observer l’ensemble du contenu une memoire d’un serveur touche, l’interception de numeros de carte bancaire ne semble jamais avoir ete constatee en commode, poursuit le specialiste reseau. «Il y a une difference entre ce qu’il sera possible d’effectuer et la pratique», previent-il.

Au sein des heures qui suivent, les specialistes d’la securite sur Internet en apprendront si»rement davantage dans votre que permettra ou non votre vulnerabilite. Or, cette connaissance approfondie est en mesure de bien autant confirmer la gravite de la situation que l’infirmer.

Cette prudence vaut egalement pour les cles de chiffrement employees par des serveurs. A en croire plusieurs experts en securite relayes par la presse, ces cles, qui permettent a priori de securiser une passage concernant le serveur d’un site, seront egalement compromises. «Des attaquants pourront prendre des copies de ces cles», ecrit CNet, quand le Guardian avance que le bug «ne permet nullement seulement a toutes les attaquants de lire les donnees chiffrees et confidentielles; il un permet aussi de prendre les cles de chiffrement utilisees Afin de securiser les donnees».

La encore, precise Stephane Bortzmeyer, aucune preuve formelle n’a ete apportee.

Mise a jour (9 avril 2014, 16h): votre dernier nous a informe que une telle preuve fut depuis apportee. Cela confirme les recommandations donnes au point 4. aux administrateurs des serveurs affectes: reparer le bug et creer de nouvelles cles de chiffrement.

4. OK, donc je fais quoi?

Concernant le moment, il n’y a moyennement de astuces precis a donner aux internautes inquiets, «si votre n’est ne pas utiliser Internet, ce qui est un conseil plutot ardu!», reprend Stephane Bortzmeyer. Notre Guardian ne evoque d’ailleurs nullement nouvelle chose, indiquant:

Sachez que celui-ci ne sert a pas grand chose https://besthookupwebsites.org/fr/sugarbook-review/, dans un premier temps libre en tout cas, de remplacer ses mots de marche. Si le vol des cles de chiffrement se confirme Effectivement, les attaquants vont pouvoir aussi s’en servir Afin de «dechiffrer des communications passees voire futures», indique bien CNet.

Neanmoins, votre changement est indispensable des que vous vous serez assure que nos sites concernes via ce bug ont fait le necessaire concernant le reparer, ainsi, ne plus en subir les effets a l’avenir.

De votre fait, la responsabilite incombe dans un premier temps aux personnes en charge des serveurs des sites en question, estime Stephane Bortzmeyer. Ces derniers doivent Dans les faits Realiser le necessaire pour reparer votre bug avant de refaire une cle de chiffrement, pour’eviter toute autre compromission.

Andrea Fradin

Mise a jour le 9 avril 2014 sur l’extraction des cles de chiffrement et les conseils Afin de se proteger des effets du bug.