Depuis le début de la semaine, c'est l'agitation sur le web. Une vulnérabilité critique a en effet repérée dans OpenSSL, une implémentation open-source des protocoles SSL et TLS, qui permettent de sécuriser les communications, notamment pour les transactions bancaires.
Baptisée "Heartbleed" et découverte par un employé de Google, cette faille est jugée très grave car elle peut affecter la sécurité des communications sur certains services en ligne. Cependant, tous les sites ne sont pas concernés, tandis que d'autres ont annoncé des mesures pour neutraliser les éventuels méfaits du bug.
Qu'est-ce que Heartbleed ?
"Le bug Heartbleed est une faille sérieuse dans la bibliothèque logicielle de cryptographie OpenSSL. Cette faiblesse permet de dérober des informations protégées […] par le chiffrement SSL/TLS utilisé pour sécuriser l'Internet. Le SSL/TLS fournit une sécurité et une confidentialité des communications sur Internet pour des applications comme le web, le mail, la messagerie instantanée et le VPN", explique un site dédié.
Celui-ci ajoute que "le bug Heartbleed permet à n'importe qui sur Internet de lire la mémoire des systèmes protégés par une version vulnérable du logiciel OpenSSL". Selon l'avis de sécurité publié sur le site d'OpenSSL, jusqu'à 64 Ko de données sont récupérables sur un client ou un serveur.Ce qui permet de collecter des échantillons de données et d'y découvrir parfois au hasard des informations exploitables.
Par exemple, le bug Heartbleed "compromet les clés secrètes utilisées pour identifier les fournisseurs de service à chiffrer le trafic, les identifiants et les mots de passe des utilisateurs et le contenu concerné", poursuit le site dédié. Si un attaquant parvient à obtenir ces informations, il peut par exemple se connecter à la place d'un autre utilisateur… ou les utiliser à la place de ce dernier.
Comment gérer le bug Heartbleed ?
S'il concerne OpenSSL, qui est largement répandu, Heartbleed ne touche que certaines versions de la boîte à outils. Sont concernées les moutures 1.0.1 et 1.0.2-beta, ainsi que les versions 1.0.1f et 1.0.2-beta1. Il convient donc de mettre à jour vers la version 1.0.1g d'OpenSSL. Concernant la version 1.0.2, la faille sera traitée avec la la mouture 1.0.2-beta2.
De son côté, le centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERTA) a publié un bulletin d'alerte qui prévient que cette faille "permet à un attaquant de provoquer un contournement de la politique de sécurité et une atteinte à la confidentialité des données". Il convient dont de procéder à une mise à jour des "installations d'OpenSSL vulnérables".
Le CERTA a par ailleurs invité les utilisateurs, "en cas de suspicion de compromission, de révoquer les certificats utilisés et de générer de nouvelles clés de chiffrement". Un conseil également donné ce mardi par Benjamin Sonntag, membre de la Quadrature du Net et spécialiste en administration système et réseau. Mieux vaut prévenir que guérir.
Heartbleed ne touche pas tout le monde
Suite à la découverte de Heartbleed, des sites spéciaux ont vu le jour pour tester la sécurité des sites web. Si des plateformes comme Google, Facebook ou Twitter ne semblent pas affectées, Yahoo est en revanche concerné. Ce qui n'est évidemment pas de chance pour le portail américain, lui qui essaie de démontrer que la sécurité de ses utilisateurs et la confidentialité de leurs données sont au cœur de son action.
La découverte de cette faille a mobilisé de nombreuses entreprises. Selon le New York Times, Yahoo, Amazon et PayPal ont pris contact avec leurs utilisateurs pour leur expliquer comment ils comptent contrer les méfaits de Heartbleed. Certains sites ont déclaré par ailleurs avoir patché OpenSSL : c'est le cas de Tumblr, CloudFlare ou Gandi.
Même constat du côté des distributions Linux. Sur le site Debian, la mise à jour est disponible pour toutes les versions de la distribution sauf la "oldstable", qui n'est pas concernée par Heartbleed. Plus généralement, Heartbleed nécessite d'effectuer la mise à jour OpenSSL dès que possible pour éviter une quelconque mauvaise surprise.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !