« Heartbleed : la grande faille dans la sécurité du web » : différence entre les versions
| [version vérifiée] | [version vérifiée] |
Contenu supprimé Contenu ajouté
mAucun résumé des modifications |
ajouts détails, et précisions quant aux versions touchés, et aux informations accessibles et nouvelle source |
||
Ligne 1 :
[[Fichier:Internet2.jpg|thumb|right|300px|La faille de sécurité Heartbleed compromet la sécurité du transfert des données de très nombreux internautes]]
{{Date|10 avril 2014}}
Le 7 avril dernier, une importante faille de sécurité a été dévoilée au sein d'{{w|OpenSSL}}, un logiciel open source utilisé par de très nombreux sites web pour sécuriser la connexion de leurs utilisateurs. Par le biais de ce dernier, les données des utilisateurs (identifiants, mots de passe, coordonnées bancaires…) sont
Cette faille permet d'accéder à une partie des information en mémoire présentes sur le {{w|tas}} au moment du l'attaque. Les informations présentent varient, mais peuvent inclure les suivantes : nom d'utilisateur, mot de passe, informations internes au serveur, etc.
Heartbleed permet également à un pirate d'avoir accès au certificat SSL, ce qui lui donne la possibilité d'usurper l'identité du site web pour faire croire à un internaute qu'il navigue sur le site web réel, alors qu'il navigue sur une copie contrôlée par le pirate, qui pourra alors récupérer de nombreuses informations plus ou moins sensibles sur l'internaute. En plus de corriger la faille de sécurité, l'autre grande priorité des responsables des sites web est d'émettre de nouveaux certificats pour éviter les cas d'usurpation.▼
▲
Découverte récemment par un membre de Google Security, Neel Mehta, cette faille affecte de nombreux sites web de natures très différentes (banques, commerce en ligne, réseaux sociaux, webmail…), dont Google, Facebook, Yahoo! et les projets de la Wikimedia Foundation (Wikipédia, Wiktionnaire, Wikinews, Commons…), ainsi que plusieurs distributions Linux . Un correctif a été publié mardi 8 avril, mais il faut attendre que les responsables des sites web mettent leurs serveurs à jour pour que la faille soit corrigée. Afin de savoir si un site est affecté ou non par la faille de sécurité, un [http://filippo.io/Heartbleed/ site web] a été mis en place.
Par ailleurs, il est fortement recommandé aux utilisateurs de consulter la mise à jour des sites web qu'ils consultent et de changer leurs mots de passe une fois que la faille a été corrigée (changer de mot de passe sur un site encore affecté sera inutile, un pirate pourra toujours avoir accès au nouveau mot de passe) et de limiter les opérations sensibles, comme les transferts bancaires ou les achats en ligne, sur les sites potentiellement affectés. Par précaution, certains sites web ont même purement et simplement fermé.
Remarquons que cette faille, comme toute faille informatique, a pu être utilisé dans le passé (au moins depuis la version 1.0.1, en décembre 2011), même si elle n'était pas encore officiellement connue. Cependant, le fait qu'OpenSSL soit une implémentation libre du protocole SSL permet à tout un chacun de voir et corriger de telles failles.
== Sources ==
Ligne 16 ⟶ 20 :
* {{Source|langue=en|url=http://www.cnet.com/how-to/which-sites-have-patched-the-heartbleed-bug/|titre=Heartbleed bug: Check which sites have been patched|publication=CNET|date=9 avril 2014}}
* {{Source|langue=en|url=https://www.openssl.org/news/secadv_20140407.txt|titre=OpenSSL Security Advisory|auteur=OpenSSL|date=7 avril 2014}}
== Voir aussi ==
| |||