Heartbleed, la faille qui a cassé le cadenas de l'Internet

 |   |  747  mots
N’importe qui sur Internet peut lire la mémoire des systèmes protégés, écrit un site qui détaille les vulnérabilités de la faille. (Photo : Yuri Samoilov. Via Flickr CC License by.)
"N’importe qui sur Internet peut lire la mémoire des systèmes protégés", écrit un site qui détaille les vulnérabilités de la faille. (Photo : Yuri Samoilov. Via Flickr CC License by.) (Crédits : Flickr / Yuri Samoiloiv)
La faille affecte le logiciel OpenSSL, qui est utilisé pour protéger ses mots de passe, ses numéros de carte bancaire ou d'autres données sur internet. Un demi-million de sites seraient concernés.

Internet est cassé. Pas tout l'Internet, mais une bonne partie. Des experts informatiques ont signalé mardi l'existence d'une des plus graves failles de sécurité découvertes depuis des années et affectant un logiciel d'encodage, utilisé par un très grand nombre de sites internet.

Casser le cadenas de sécurité de l'Internet

Baptisée "Heartbleed" ("cœur qui saigne"), cette faille existait depuis deux ans et a été découverte indépendamment  par des chercheurs de Google et d'une petite entreprise de sécurité informatique Codenomicon. Elle affecte le logiciel OpenSSL, qui est utilisé pour protéger ses mots de passe, ses numéros de carte bancaire ou d'autres données sur internet.

Cette mesure de sécurité est représentée dans la barre d'adresse du navigateur par un petit cadenas, explique le site américain Vox.com. Ce cadenas est "supposé signaler qu'une tierce partie ne sera pas capable de lire les informations transmises ou reçues".

"Supposé" puisqu'avec la découverte de la faille, tout cela n'est désormais plus que du vent. Le site Hearbleed.com, qui détaille les vulnérabilités de la faille, écrit ainsi que "n'importe qui sur Internet peut lire la mémoire des systèmes protégés".

Accéder aux "joyaux de la couronne"

Parmi les informations susceptibles d'êtres récupérées par les pirates figurent le code source (instructions pour le microprocesseur), les mots de passe, et les "clés" utilisées pour déverrouiller des données cryptées ou imiter un site.

"Ce sont les joyaux de la couronne, les clés d'encodage elles-mêmes", souligne le site Heartbleed.com.

Ces clés "permettent aux pirates de décrypter tous les trafics, passés et à venir, vers les services protégés et d'imiter ces services", précisent  des spécialistes de la société de sécurité informatique Fox-IT, indiquant que "le nombre d'attaques qu'ils peuvent effectuer est sans limite".

Une faille d'une ampleur rare

Si le logiciel OpenSSL n'est pas très connu en dehors du monde des codeurs il est utilisé par près de deux tiers des sites web, rapporte le site spécialisé dans les technologies The Verge.

Tous n'utilisent néanmoins pas les versions d'OpenSSL atteintes par la faille (il est possible de savoir si un site est concerné grâce à un service mis en place pour l'occasion) mais surtout, tous n'utilisent pas un service HTTPS (le petit cadenas dont il était question plus tôt). D'après Netcraft, une entreprise britannique qui répertorie notamment le nombre de sites web actifs sur Internet, 17,5% des sites utilisant un serveur SSL seraient concernés, soit environ un demi-million de sites.

Si certains acteurs majeurs de l'Internet, comme Facebook ou Google, ont déclaré avoir été épargnés, d'autres n'ont pas échappé à la faille. Un porte-parole de Yahoo a ainsi reconnu que Yahoo Mail présentait une vulnérabilité mais a précisé que le problème avait été réglé ainsi que pour d'autres sites de la société comme Yahoo Search, Finance, Sports, Flickr et Tumblr.

Plus tôt dans l'après-midi du 8 avril, le fondateur de Fox-IT, expliquait avoir réussi à pirater la base de données utilisateurs du moteur de recherche.

La faille est tellement importante qu'elle a incité le département américain du Homeland Security à conseiller à toutes les entreprises de vérifier si leurs serveurs utilisaient une version vulnérable du logiciel OpenSSL.

"C'est catastrophiquement mauvais, juste un bug extrêmement préjudiciable", commente pour The Verge Nicholas Weaver, chercheur en sécurité informatique à l'International Computer Science Institut (ICSI) de Berkeley.

La faille a déjà été corrigée mais il faut rester prudent

Dès la découverte de la faille, tant les chercheurs de Google que de Codenomicon ont travaillé avec OpenSSL pour qu'une mise-à-jour soit disponible avant que le bug ne soit rendu public.

Un billet sur le site Tor Project, qui milite pour l'anonymat en ligne, exhorte néanmoins ceux qui ont des besoins élevés en matière de protection en ligne d'éviter d'utiliser internet pendant quelques jours, afin de permettre aux sites et aux serveurs d'améliorer leur sécurité.

Crédit photo : System Lock par Yuri Samoilov. Via Flickr CC License by

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 09/04/2014 à 19:04 :
Ce qui est comique c'est que tout les 2 ans on voit les systèmes informatiques des réseaux se faire ouvrir et piller comme de vulgaires boites de conserves et chaque fois la même sérénade, soyez rassuré pour vos données confidentielles... Vraiment comique d'arrogance ces ploutocrates du web.
Réponse de le 09/04/2014 à 21:07 :
C'est amplement plus difficile que d'ouvrir un tas de ferraille roulant...
a écrit le 09/04/2014 à 15:19 :
Les russes qui sont les spécialistes mondiaux ont cassé internet depuis bien longtemps. Ils offrent leur protection à qui veut bien les payer. Ce n'est donc pas une nouvelle tant "on" sait mais "on" s'engage à ne pas le dire. Le vrai nouveau est que ça sorte. On ne va pas tarder à parler des systèmes d'armes qui ne sont pas plus protégés que le reste et deviennent ainsi un danger colossal.
Réponse de le 09/04/2014 à 15:41 :
Pouvez-nous indiquer ce que signifie "casser internet"? Si je détruis mon modem ADSL à coup de marteau, est-ce que j'ai "cassé internet"? :-)
a écrit le 09/04/2014 à 15:07 :
Bonjour,

Une petite erreur dans l'article, SSL n'est pas connu de tous les codeurs mais plutôt de toutes les entreprises Web. Il s'agit d'un paquet logiciel permettant de sécuriser notamment les communications entre deux équipements ou en client serveur afin d'éviter les attaques de type man in the middle.
C'est un produit très apprécié des administrateurs systèmes Linux/Unix mais également des entreprises Web.
Cette faille affecte le cryptage du flux qui peut du coup être vu en clair par des gangsters du web. Ce qui permettrait éventuellement une prise de contrôle ses serveurs et bien entendu l'intrusion de bon nombre de services web.
Il suffit de mettre à jour les serveurs impactés et de changer tous les mots de passe des users impliqués dans des relation avec ces serveurs.
Pour une petite PME c'est quelques heure de boulot mais pour des sites comme Yahoo, Facebook ou autre c'est long et fastidieux.
Réponse de le 12/04/2014 à 9:49 :
J'ai failli oublier, il est également indispensable de révoquer vos certificats et de les regénérer par sécurité ... .

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :