La grave faille de sécurité dans OpenSSL, connue sous le nom de Heartbleed, a été rendue publique il y a plus d’un mois, mais de nombreux serveurs restent vulnérables. Selon l’expert en sécurité, Robert Graham, au moins 300 000 serveurs sont sujets à des pannes, bien moins que les 600 000 d’il y a 30 jours, mais tout de même assez inquiétant.
Le nombre exact est de 318 239 serveurs vulnérables, mais le montant réel peut être plus important. Parce que le mois dernier, Graham a trouvé 28 millions de serveurs avec SSL activé, mais cette fois il n’a pu tester que 22 millions de machines, peut-être à cause des verrous de sécurité automatiques. De plus, Graham n’a testé que sur le port 443, le plus courant ; il se peut que les serveurs fonctionnant en SSL sur d’autres ports soient également vulnérables.
Les plus de 300 000 serveurs soumis à Heartbleed font partie d’un univers de 1,5 million de systèmes qui supportent Heartbeat, une extension qui maintient une connexion SSL active. Profitant de l’insuffisance cardiaque, un criminel peut obtenir 64 Ko de données de la mémoire du serveur à chaque attaque. En procédant ainsi de manière répétée, il est possible d’obtenir des informations sensibles telles que des mots de passe et des numéros de cartes de crédit.
Lire la suite: Quelle est la grave atteinte à la sécurité de Heartbleed et pourquoi devriez-vous vous en préoccuper
La défaillance a touché des services majeurs tels que Yahoo, Flickr, Steam, XDA Developers, StackOverflow et Tumblr. La plupart des entreprises qui étaient vulnérables à Heartbleed ont déjà réparé la faille et alerté les utilisateurs. La recommandation est de changer au moins vos mots de passe principaux, en particulier ceux que vous utilisez en permanence et qui donnent accès à des données sensibles.