Heartbleed : la grande faille dans la sécurité du web
Publié le 10 avril 2014
Le 7 avril dernier, une importante faille de sécurité a été dévoilée au sein d'OpenSSL, un logiciel open source utilisé par de très nombreux sites web pour sécuriser la connexion de leurs utilisateurs. Par le biais de ce dernier, les données des utilisateurs (identifiants, mots de passe, coordonnées bancaires…) sont chiffrées et ne peuvent donc être interceptées et lues par des tiers. C'est du-moins la théorie, car les versions 1.0.1 jusqu'à 1.0.1f, ainsi que la branche instable (1.0.2) sont touchées. OpenSSL accuse une importante faille de sécurité qui a été baptisée « Heartbleed », ce qui signifie cœur saignant en anglais. Un nom bien porté, car cette faille permet à tout pirate d'intercepter les données potentiellement sensibles.
Cette faille permet d'accéder à une partie des informations en mémoire présentes sur le tas au moment de l'attaque. Les informations présentes varient. Elles peuvent inclure : nom d'utilisateur, mot de passe, informations internes au serveur, etc.
Si un pirate accède au certificat SSL d'un site web, cela lui donne la possibilité d'usurper l'identité du site web pour faire croire à un internaute qu'il navigue sur le site web réel, alors qu'il navigue sur une copie contrôlée par le pirate, qui pourra alors récupérer de nombreuses informations plus ou moins sensibles sur l'internaute. En plus de corriger la faille de sécurité, l'autre grande priorité des responsables des sites web est d'émettre de nouveaux certificats pour éviter les cas d'usurpation.
Découverte récemment par un membre de Google Security, Neel Mehta, cette faille affecte de nombreux sites web de natures très différentes (banques, commerce en ligne, réseaux sociaux, webmail…), dont Google, Facebook, Yahoo! et les projets de la Wikimedia Foundation (Wikipédia, Wiktionnaire, Wikinews, Commons…), ainsi que plusieurs distributions Linux . Un correctif a été publié mardi 8 avril, mais il faut attendre que les responsables des sites web mettent leurs serveurs à jour pour que la faille soit corrigée. Afin de savoir si un site est affecté ou non par la faille de sécurité, un site web a été mis en place.
Par ailleurs, il est fortement recommandé aux utilisateurs de consulter la mise à jour des sites web qu'ils consultent et de changer leurs mots de passe une fois que la faille a été corrigée (changer de mot de passe sur un site encore affecté sera inutile, un pirate pourra toujours avoir accès au nouveau mot de passe) et de limiter les opérations sensibles, comme les transferts bancaires ou les achats en ligne, sur les sites potentiellement affectés. Par précaution, certains sites web ont même purement et simplement fermé.
Sources
modifier- ((fr)) – Mathieu Boch, « Heartbleed, la faille sanglante du web ». Arte, 10 avril 2014.
- ((fr)) – Sébastien Gavois, « OpenSSL : la faille Heartbleed menace la sécurité du web, des sites ferment ». Next INpact, 9 avril 2014.
- ((en)) – « Heartbleed bug: Check which sites have been patched ». CNET, 9 avril 2014.
- ((en)) – OpenSSL, « OpenSSL Security Advisory ». 7 avril 2014.
Voir aussi
modifier- Heartbleed Bug, site détaillant les causes et les conséquences de la faille Heartbleed
- Page
- « Informatique » de Wikinews.