Le bug Heartbleed nous met-il tous a poil dans Internet?

Le bug Heartbleed nous met-il tous a poil dans Internet?

Temps de lecture

L e nom a de quoi faire paniquer. Heartbleed (pour «coeur qui saigne») est 1 bug detecte dans la nuit du lundi 7 au mardi 8 avril, qui permettrait d’acceder a une partie des sugarbook informations stockees sur un large panel de serveurs des prestations dans Internet: sites, et messageries ou bien bien «dispositifs de mise a jour des smartphones», precise a Slate l’expert reseau Stephane Bortzmeyer.

En net donc, «vos identifiants et mots de marche vont pouvoir etre compromis, ainsi que vos echanges chiffres», previent NextINpact. D’autres medias avancent aussi que les numeros de cartes bancaires employees i  propos des sites d’e-commerce peuvent avoir ete subtilises.

Alors, est-ce le moment de paniquer ainsi que cesser tous types d’activite sur Internet?

1. C’est quoi ce bug?

Concretement, la faille Heartbleed affecte une prestation appele OpenSSL qui permet de chiffrer les communications sur Internet. Ce service est tres populaire et assure donc, a priori, la confidentialite de vos faits et gestes sur les sites et services qui l’utilisent. Une protection qui s’appuie sur votre echange secret, explique le site specialise CNet, entre nos serveurs du site en question et les internautes:

«Les serveurs internet qui l’utilisent envoient une cle de chiffrement a un visiteur, qui est ensuite utilisee Afin de proteger chacune des autres informations entrant et sortant du serveur.»

Notre fameuse faille Heartbleed aurait ete creee en 2011 lors une mise a jour du code d’OpenSSL. Elle n’a ete rendue publique que dans la nuit du 7 au 8 avril.

2. Quels sites seront concernes?

Pour commencer, seul Yahoo serait concerne via cette faille parmi les gros bonnets du internet, de ceux qui nous viennent immediatement a l’atmosphi?re: «Google, Microsoft, Twitter, Facebook, Dropbox, ainsi, d’autres sites majeurs» seraient ainsi epargnes, explique CNet.

Cela n’empeche nullement en revanche d’autres sites moins massifs de devenir touches. OpenSSL etant tres utilise, i§a renforce les risques d’observer ses donnees exposees par tout un tas de services sur Internet. Notre plateforme de partage d’images Imgur serait ainsi affectee, ainsi que le blog de rencontre OkCupid et meme la page du FBI, liste i  nouveau le Guardian.

Depuis que la faille a ete rendue publique, des petits outils permettent de verifier si tel ou tel site est concerne par le bug. Prudence neanmoins, previent Stephane Bortzmeyer: ces dispositifs ne sont jamais completement infaillibles et maintenant que Notre faille reste publique, plusieurs sites pourraient via ailleurs la maintenir volontairement Afin de pieger et identifier d’eventuels attaquants.

3. Que permettra votre bug? Faut-il paniquer?

Ardu a affirmer. A l’instar de la majorite des observateurs et experts du reseau, Stephane Bortzmeyer concede que l’evenement est «serieux», tout en avouant qu’il est «difficile de synthetiser votre que, concretement, ce bug va permettre ou non.»

Une chose est sure, d’apri?s lui: une telle faille fera voler en eclats l’idee en fonction de laquelle on reste en marketing des qu’on apercoit un petit cadenas a cote de l’URL du site que l’on visite.

Neanmoins, ca n’est jamais totalement cataclysmique, du moins Afin de l’instant. Pour commencer, l’exploitation de ce bug permet non pas de siphonner toute la memoire des serveurs d’un site, mais seulement «un bout» (64KB juste, l’equivalent tout d’un petit fichier texte, d’une image. ), precise encore l’expert reseau. Encore, l’individu qui profiterait de la faille ne peut a priori jamais controler votre qu’il va pecher.

Concretement, l’exploitation du bug a bel et bien permis a des personnes ayant connaissance du bug d’offrir quelques identifiants, associes a leurs mots de marche, sur Yahoo. Ainsi, le Guardian raconte que votre vulnerabilite va permettre d’avoir 1 apercu des «cookies une derniere personne a avoir visite le serveur affecte», ce qui «revele des precisions personnelles de cet internaute», poursuit le journal anglais. Une conclusion que confirme Stephane Bortzmeyer:

«A cet instant, pas besoin du mot de passe du visiteur, Il semble possible de se connecter a sa place.»

Si elle n’est pas impossible en soit, dans la mesure ou votre faille permettrait de voir l’ensemble du contenu d’la memoire d’un serveur touche, l’interception de numeros de carte bancaire ne semble jamais avoir ete constatee en fonctionnel, poursuit L’expert reseau. «Il y a une difference entre ce que c’est possible de faire et la pratique», previent-il.

Au sein des heures qui suivent, les specialistes une securite sur Internet en apprendront certainement davantage via ce que permet ou non votre vulnerabilite. Or, cette connaissance approfondie est en mesure de bien autant confirmer la gravite d’une situation que l’infirmer.

Cette prudence vaut egalement pour des cles de chiffrement utilisees par des serveurs. A en croire Divers experts en securite relayes par la presse, ces cles, qui permettront a priori de securiser notre passage concernant le serveur d’un site, seront egalement compromises. «Des attaquants peuvent prendre des copies des cles», ecrit CNet, quand le Guardian avance que le bug «ne permet nullement seulement aux attaquants de lire les informations chiffrees et confidentielles; il un permet aussi de prendre les cles de chiffrement utilisees Afin de securiser des donnees».

La i  nouveau, precise Stephane Bortzmeyer, aucune preuve formelle n’a ete apportee.

Mise a jour (9 avril 2014, 16h): ce dernier nous a informe que une telle preuve a ete depuis apportee. Cela confirme les recommandations donnes au point 4. aux administrateurs des serveurs affectes: reparer le bug puis creer de nouvelles cles de chiffrement.

4. OK, donc je fais quoi?

Pour le moment, il n’y a moyennement de astuces precis a donner a toutes les internautes inquiets, «si votre n’est ne pas se servir de Internet, et cela est un conseil plutot complexe!», reprend Stephane Bortzmeyer. Notre Guardian ne evoque d’ailleurs pas nouvelle chose, indiquant:

Sachez que celui-ci ne sert a pas grand chose, dans un premier moment en tout cas, de changer ses mots de marche. Si le vol des cles de chiffrement se confirme en effet, les attaquants pourront aussi s’en servir Afin de «dechiffrer nos communications passees voire futures», indique bien CNet.

Neanmoins, ce changement va etre indispensable des que vous vous serez assure que les sites concernes avec votre bug ont fait le necessaire pour le reparer, et ne plus en subir des effets a l’avenir.

De votre fera, la responsabilite incombe dans un premier moment a toutes les individus en charge des serveurs des e-boutiques proprement dit, estime Stephane Bortzmeyer. Ces derniers doivent en effet faire le important Afin de reparer votre bug avant de refaire une cle de chiffrement, pour’eviter toute autre compromission.

Andrea Fradin

Mise a jour le 9 avril 2014 concernant l’extraction des cles de chiffrement et les recommandations pour se proteger des effets du bug.

You may also like...