Sécurité

Quelle est la grave atteinte à la sécurité de Heartbleed et pourquoi vous devriez vous en préoccuper

Une grave faille de sécurité dans OpenSSL, une implémentation open source largement utilisée pour créer des connexions sécurisées par le biais des protocoles SSL et TLS, comme celles disponibles sur les pages web avec le fameux verrou de sécurité, a été publiée cette semaine. Lorsqu’elle est exploitée, la vulnérabilité permet à un criminel d’accéder à la mémoire du serveur concerné et d’obtenir des informations sensibles telles que des mots de passe et des coordonnées bancaires.

Cette lacune existe depuis plus de deux ans et est appelée Heartbleed, quelque chose comme “saignement dans le cœur” car elle se trouve sur une extension appelée heartbeat, qui maintient une connexion sécurisée active (ou “vivante”). Grâce à cette défaillance, un pirate informatique peut obtenir 64 Ko de données de la mémoire du serveur à chaque “battement de cœur”. Cela ne semble pas beaucoup, mais le processus peut être répété plusieurs fois jusqu’à ce que le pirate soit satisfait des données obtenues.

  Les mineurs de Cryptomeda sur le web sont bloqués 1 million de fois par jour

Avec cette attaque, il serait possible de faire fuir des courriels, des mots de passe, des numéros de cartes de crédit et d’autres informations des sites HTTPS qui, en théorie, gardent les données en sécurité en les transférant de manière cryptée entre le serveur et l’utilisateur. Si l’attaque est répétée, les clés de cryptage des services pourraient être obtenues pour tromper les utilisateurs avec des pages qui semblent dignes de confiance mais qui volent silencieusement des données en arrière-plan.

Il n’est pas nécessaire de profiter des fissures de l’ordinateur de l’utilisateur pour exploiter la faille ; le pirate peut directement attaquer un serveur affecté. En d’autres termes, les utilisateurs ne peuvent pas faire grand-chose : il suffit d’attendre que les administrateurs du serveur installent rapidement le correctif pour éviter les fuites et révoquer les certificats en cours d’utilisation. Les distributions Linux telles que Ubuntu 12.04 LTS, CentOS 6.5, Fedora 18 et Debian 7 avaient déjà livré des paquets OpenSSL potentiellement vulnérables dans le passé. La version 1.0.1g d’OpenSSL corrige le bogue.

  Google fait l'objet d'une enquête pour avoir collecté des données médicales sans l'autorisation des utilisateurs

Il s’agit d’une erreur OpenSSL, et non d’une erreur de protocole, c’est-à-dire que les services qui utilisent d’autres implémentations pour fournir une connexion sécurisée ne devraient pas avoir été affectés. Le problème est qu’OpenSSL est extrêmement populaire : parmi les serveurs web utilisant OpenSSL, on trouve Apache et nginx, qui représentent environ deux tiers (66%) de tous les sites web actifs, selon a Netcraft. En outre, il est également utilisé par les VPN et plusieurs serveurs de messagerie et de chat. Il est donc très probable que vous ayez été directement ou indirectement touché.

Heureusement, des sociétés comme Google, Facebook et Amazon n’ont pas été touchées, mais une liste sur GitHub montre quelques sites bien connus qui, au moins jusqu’à hier, étaient potentiellement vulnérables, comme Yahoo, Flickr, 500px, Redtube ( !), OkCupid, Steam, XDA Developers, WeTransfer et StackOverflow. Cet outil, tout en donnant quelques erreurs et faux positifs, est un bon point de départ pour vérifier si les sites auxquels vous accédez sont vulnérables.

  Visualisation des sites et des applications pour lesquels j'ai utilisé la connexion Google

Comme la faille était présente dans OpenSSL il y a deux ans et peut être explorée sans laisser de trace, nous ne saurons probablement jamais combien de données ont été obtenues avec la vulnérabilité. Toutefois, il est conseillé d’échanger vos mots de passe sur les sites mentionnés ci-dessus (Tumblr a déjà communiqué cela aux utilisateurs) et de suivre de plus près votre facture de carte de crédit pour détecter les transactions suspectes.

Vous pouvez obtenir plus d’informations sur Heartbleed, en anglais, sur ce site.

A propos de l'auteur

Zineb

Enseignante en lycée, je m'intéresse à tout ce qui touche aux nouvelles technologies. #teamMac sur PerlmOl (je ne me sépare d'ailleurs jamais non plus de mon Iphone).

Laisser un commentaire