Temps de lecture
L e nom a de quoi faire paniquer. Heartbleed (Afin de «coeur qui saigne») est un bug detecte dans la nuit du lundi 7 au mardi 8 avril, qui permettrait d’acceder a une partie des informations stockees sur un large panel de serveurs des prestations sur Internet: sites, et messageries ou encore bien «dispositifs de mise a jour des smartphones», precise a Slate l’expert reseau Stephane Bortzmeyer.
En net donc, «vos identifiants et mots de passe peuvent etre compromis, ainsi que vos echanges chiffres», previent NextINpact. D’autres medias avancent aussi que les numeros de cartes bancaires employees i propos des sites d’e-commerce peuvent avoir ete subtilises.
Alors, est-ce l’instant https://besthookupwebsites.org/fr/twoo-review/ de paniquer et de cesser toute sorte d’activite sur Internet?
1. C’est quoi ce bug?
Concretement, la faille Heartbleed affecte une prestation appele OpenSSL qui permet de chiffrer les communications sur Internet. Ce service est tres populaire et assure donc, a priori, la confidentialite de vos faits et gestes i propos des sites et services qui l’utilisent. Une protection qui s’appuie sur un echange secret, explique le site specialise CNet, entre nos serveurs du site proprement dit et les internautes:
«Les serveurs internet qui l’utilisent envoient une cle de chiffrement a un visiteur, qui reste ensuite utilisee pour proteger toutes les autres informations entrant et sortant du serveur.»
La fameuse faille Heartbleed aurait ete creee en 2011 au cours de la mise a jour du code d’OpenSSL. Elle n’a ete rendue publique que dans la nuit du 7 au 8 avril.
2. Quels sites seront concernes?
Pour commencer, seul Yahoo pourrait etre concerne par une telle faille parmi les gros bonnets du internet, de ceux qui nous viennent immediatement a l’esprit: «Google, Microsoft, Twitter, Facebook, Dropbox, ainsi, d’autres sites majeurs» seraient ainsi epargnes, explique CNet.
Cela n’empeche pas en revanche d’autres sites moins massifs de devenir touches. OpenSSL etant tres utilise, i§a renforce les risques de voir ses donnees exposees par bien un tas de services sur Internet. Notre plateforme de partage d’images Imgur pourrait etre ainsi affectee, ainsi que le blog de rencontre OkCupid et meme la page du FBI, liste bien le Guardian.
Depuis que la faille a ete rendue publique, des petits outils permettent de verifier si tel ou tel site est concerne via le bug. Prudence neanmoins, previent Stephane Bortzmeyer: ces dispositifs ne semblent gui?re completement infaillibles et maintenant que Notre faille reste publique, certains sites pourraient via ailleurs la maintenir volontairement pour pieger et identifier d’eventuels attaquants.
3. Que permettra ce bug? Faut-il paniquer?
Complexe a dire. A l’instar en majorite des observateurs et experts du reseau, Stephane Bortzmeyer concede que l’evenement est «serieux», tout en avouant qu’il sera «difficile de synthetiser votre que, concretement, ce bug va permettre ou non.»
Une chose est sure, d’apri?s lui: une telle faille fait voler en eclats l’idee selon laquelle on reste en marketing des qu’on apercoit 1 petit cadenas a cote de l’URL du website qu’on visite.
Neanmoins, la situation n’est gui?re completement cataclysmique, du moins pour l’instant. Pour commencer, l’exploitation de ce bug permettra non aucun siphonner toute la memoire des serveurs d’un site, mais seulement «un bout» (64KB juste, l’equivalent tout d’un petit fichier texte, d’une image. ), precise encore l’expert reseau. Encore, l’individu qui profiterait en faille ne peut a priori pas controler ce que celui-ci va pecher.
Concretement, l’exploitation du bug a bel et bien permis a des personnes ayant connaissance du bug d’obtenir plusieurs identifiants, associes a leurs mots de marche, sur Yahoo. De meme, le Guardian raconte que une telle vulnerabilite permettra d’avoir un apercu des «cookies d’la derniere personne a avoir visite le serveur affecte», et cela «revele des renseignements personnelles de votre internaute», poursuit le journal anglais. Une conclusion que confirme Stephane Bortzmeyer:
«A cet instant, inutile du mot de passe du visiteur, c’est possible de se connecter a sa place.»
Si elle n’est jamais impossible en soit, dans la mesure ou votre faille permettrait d’observer l’ensemble du contenu d’une memoire d’un serveur touche, l’interception de numeros de carte bancaire ne semble gui?re avoir ete constatee en pratique, poursuit le specialiste reseau. «Il y a une difference entre votre qu’il est possible de faire et la pratique», previent-il.
Au sein des heures qui suivent, les specialistes d’une securite sur Internet en apprendront certainement davantage via ce que va permettre ou non votre vulnerabilite. Or, cette connaissance approfondie peut bien aussi bien confirmer la gravite de la situation que l’infirmer.
Cette prudence vaut egalement Afin de les cles de chiffrement employees par les serveurs. A en croire Quelques experts en securite relayes par la presse, ces cles, qui peuvent permettre a priori de securiser une passage via le serveur tout d’un site, paraissent egalement compromises. «Des attaquants ont la possibilite de prendre des copies de ces cles», ecrit CNet, quand le Guardian avance que le bug «ne permet nullement seulement aux attaquants de lire les donnees chiffrees et confidentielles; il leur permet aussi de prendre les cles de chiffrement utilisees Afin de securiser les donnees».
La encore, precise Stephane Bortzmeyer, aucune preuve formelle n’a ete apportee.
Mise a jour (9 avril 2014, 16h): ce soir nous a informe que votre preuve a ete depuis apportee. Cela confirme les recommandations donnes au point 4. aux administrateurs des serveurs affectes: reparer le bug puis creer de nouvelles cles de chiffrement.
4. OK, donc je fais quoi?
Pour le moment, il n’y a moyennement de conseils precis a donner aux internautes inquiets, «si votre n’est ne pas se servir de Internet, et cela est un conseil plutot difficile!», reprend Stephane Bortzmeyer. Le Guardian ne devoile d’ailleurs gui?re autre chose, indiquant:
Sachez que celui-ci ne sert a que dalle, dans un premier temps du reste, de remplacer ses mots de passe. Si le vol des cles de chiffrement se confirme Indeniablement, les attaquants vont pouvoir aussi s’en servir pour «dechiffrer les communications passees voire futures», indique i nouveau CNet.
Neanmoins, ce changement sera indispensable des que vous vous serez assure que les sites concernes avec votre bug ont fera le important pour le reparer, ainsi, ne plus en subir nos effets a l’avenir.
De ce fera, la responsabilite incombe dans un premier temps a toutes les individus en charge des serveurs des sites en question, estime Stephane Bortzmeyer. Ces derniers doivent Par exemple Realiser le utile pour reparer votre bug avant de refaire une cle de chiffrement, afin d’eviter toute autre compromission.
Andrea Fradin
Mise a jour le 9 avril 2014 sur l’extraction des cles de chiffrement et les conseils Afin de se proteger des effets du bug.