Le bug Heartbleed nous met-il l’ensemble de a poil sur Internet?

Temps de lecture

L e nom a de quoi faire paniquer. Heartbleed (Afin de «coeur qui saigne») est un bug detecte dans la nuit du lundi 7 au jeudi 8 avril, qui permettrait d’acceder a une partie des renseignements stockees sur un grand nombre de serveurs des prestations concernant Internet: sites, puis messageries ou bien encore «dispositifs de mise a jour des smartphones», precise a Slate l’expert reseau Stephane Bortzmeyer.

En clair donc, «vos identifiants et mots de passe pourront etre compromis, ainsi que vos echanges chiffres», previent NextINpact. D’autres medias avancent aussi que les numeros de cartes bancaires employees i  propos des sites d’e-commerce peuvent avoir ete subtilises.

Alors, est-ce l’instant de paniquer et de cesser tous types d’activite sur Internet?

1. C’est quoi votre bug?

Concretement, la faille Heartbleed affecte une prestation appele OpenSSL qui permet de chiffrer les communications sur Internet. Ce service est tres populaire et assure donc, a priori, la confidentialite de vos faits et gestes sur les sites et services qui l’utilisent. Une protection qui s’appuie sur 1 echange secret, explique le website specialise CNet, entre des serveurs du website en question et les internautes:

«Les serveurs internet qui l’utilisent envoient une cle de chiffrement a votre visiteur, qui est ensuite utilisee pour abriter l’integralite des autres informations entrant et sortant du serveur.»

J’ai fameuse faille Heartbleed aurait ete creee en 2011 au cours en mise a jour du code d’OpenSSL. Elle n’a ete rendue publique que dans la nuit du 7 au 8 avril.

2. Quels sites paraissent concernes?

Pour commencer, seul Yahoo pourrait etre concerne via une telle faille parmi les gros bonnets du web, de ceux qui nous viennent immediatement a l’atmosphi?re: «Google, Microsoft, Twitter, Facebook, Dropbox, ainsi, d’autres sites majeurs» seraient ainsi epargnes, explique CNet.

Cela n’empeche gui?re en revanche d’autres sites moins massifs de devenir touches. OpenSSL etant tres utilise, i§a renforce les dangers d’observer ses donnees exposees par tout un tas de services sur Internet. J’ai plateforme de partage d’images Imgur serait ainsi affectee, ainsi que le website de rencontre OkCupid et meme le site du FBI, liste encore le Guardian.

Depuis que Notre faille a ete rendue publique, des petits outils permettent de verifier si tel ou tel site est concerne par le bug. Prudence neanmoins, previent Stephane Bortzmeyer: ces dispositifs ne semblent gui?re completement infaillibles et maintenant que Notre faille reste publique, Quelques sites pourraient par ailleurs la maintenir volontairement pour pieger et identifier d’eventuels attaquants.

3. Que permet votre bug? Faut-il paniquer?

Difficile a reconnai®tre. A l’identique d’la majorite des observateurs et experts du reseau, Stephane Bortzmeyer concede que l’evenement est «serieux», tout en avouant qu’il sera «difficile de synthetiser votre que, concretement, votre bug va permettre ou non.»

Une chose reste sure, en fonction de lui: cette faille fera voler en eclats l’idee d’apri?s laquelle on reste en marketing des que l’on apercoit un petit cadenas a cote de l’URL du site qu’on visite.

Neanmoins, la situation n’est gui?re completement cataclysmique, du moins pour l’instant. Pour commencer, l’exploitation de votre bug va permettre non pas de siphonner toute la memoire des serveurs tout d’un site, mais seulement «un bout» (64KB seulement, l’equivalent d’un petit fichier propos, de la image. ), precise encore l’expert reseau. De surcroit, l’individu qui profiterait de la faille ne peut a priori jamais controler votre que celui-ci va pecher.

Concretement, l’exploitation du bug a bel et bien permis a des personnes ayant connaissance du bug d’obtenir deux identifiants, associes a leurs mots de passe, sur Yahoo. De meme, le Guardian raconte que cette vulnerabilite permettra d’avoir 1 apercu des «cookies de la derniere personne a avoir visite le serveur affecte», ce qui «revele des informations personnelles de cet internaute», poursuit le journal anglais. Une conclusion que confirme Stephane Bortzmeyer:

«A ce moment la, pas besoin du mot de passe du visiteur, Cela reste possible de se connecter a sa place.»

Si elle n’est nullement impossible en soit https://besthookupwebsites.org/fr/senior-sizzle-review/, dans la mesure ou cette faille permettrait d’observer l’ensemble du contenu une memoire d’un serveur touche, l’interception de numeros de carte bancaire ne parai®t gui?re avoir ete constatee en commode, poursuit L’expert reseau. «Il y a une difference entre votre que c’est possible d’effectuer et la pratique», previent-il.

En heures qui suivent, les specialistes de la securite sur Internet en apprendront si»rement davantage dans ce que permettra ou non votre vulnerabilite. Or, cette connaissance approfondie est en mesure de bien aussi bien confirmer la gravite d’la situation que l’infirmer.

Cette prudence vaut egalement Afin de des cles de chiffrement employees par des serveurs. A en croire certains experts en securite relayes par la presse, ces cles, qui peuvent permettre a priori de securiser notre passage via le serveur d’un site, seront egalement compromises. «Des attaquants ont la possibilite de prendre des copies de ces cles», ecrit CNet, quand le Guardian avance que le bug «ne permet jamais seulement a toutes les attaquants de lire les donnees chiffrees et confidentielles; il leur permet aussi de prendre les cles de chiffrement employees Afin de securiser des donnees».

La i  nouveau, precise Stephane Bortzmeyer, aucune preuve formelle n’a ete apportee.

Mise a jour (9 avril 2014, 16h): votre dernier nous a informe que cette preuve fut depuis apportee. Cela confirme les recommandations donnes au point 4. a toutes les administrateurs des serveurs affectes: reparer le bug mais aussi creer de nouvelles cles de chiffrement.

4. OK, donc je fais quoi?

Pour le moment, il n’y a moyennement de conseils precis a donner a toutes les internautes inquiets, «si ce n’est ne pas se servir de Internet, et cela est un conseil plutot complexe!», reprend Stephane Bortzmeyer. Le Guardian ne devoile d’ailleurs pas autre chose, indiquant:

Sachez qu’il ne sert a que dalle, dans un premier temps en tout cas, de changer ses mots de passe. Si le vol des cles de chiffrement se confirme Indeniablement, les attaquants ont la possibilite de aussi s’en servir pour «dechiffrer nos communications passees voire futures», indique i  nouveau CNet.

Neanmoins, votre changement est indispensable des que vous vous serez assure que nos sites concernes via ce bug ont fait le necessaire pour le reparer, ainsi, ne plus en subir les effets a l’avenir.

De votre fera, la responsabilite incombe dans un premier temps libre aux individus en charge des serveurs des sites en question, estime Stephane Bortzmeyer. Ces derniers doivent Indeniablement Realiser le necessaire pour reparer votre bug avant de refaire une cle de chiffrement, pour’eviter toute nouvelle compromission.

Andrea Fradin

Mise a jour le 9 avril 2014 sur l’extraction des cles de chiffrement et les recommandations pour se proteger des effets du bug.