Temps de lecture
L e nom a de quoi faire paniquer. Heartbleed (pour «coeur qui saigne») est votre bug detecte dans la nuit du lundi 7 au mardi 8 avril, qui permettrait d’acceder a une partie des precisions stockees sur un grand nombre de serveurs des prestations sur Internet: sites, mais aussi messageries ou encore i nouveau «dispositifs de mise a jour des smartphones», precise a Slate l’expert reseau Stephane Bortzmeyer.
En clair donc, «vos identifiants et mots de passe pourront etre compromis, ainsi que vos echanges chiffres», previent NextINpact. D’autres medias avancent aussi que les numeros de cartes bancaires employees i propos des sites d’e-commerce peuvent avoir ete subtilises.
Alors, est-ce l’instant de paniquer ainsi que cesser tous types d’activite sur Internet?
1. C’est quoi votre bug?
Concretement, la faille Heartbleed affecte un service appele OpenSSL qui permet de chiffrer les communications sur Internet. Ce service est tres populaire et assure donc, a priori, la confidentialite de vos faits et gestes i propos des sites et services qui l’utilisent. Une protection qui s’appuie sur 1 echange secret, explique la page specialise CNet, entre des serveurs du site proprement dit et des internautes:
«Les serveurs internet qui l’utilisent envoient une cle de chiffrement a votre visiteur, qui reste ensuite utilisee Afin de proteger toutes les autres informations entrant et sortant du serveur.»
Notre fameuse faille Heartbleed aurait ete creee en 2011 au cours en mise a jour du code d’OpenSSL. Elle n’a ete rendue publique que dans la nuit du 7 au 8 avril.
2. Quels sites seront concernes?
Pour commencer, seul Yahoo pourrait i?tre concerne via cette faille parmi les gros bonnets du internet, de ceux qui nous viennent immediatement a l’esprit: «Google, Microsoft, Twitter, Facebook, Dropbox, ainsi, d’autres sites majeurs» seraient ainsi epargnes, explique CNet.
Cela n’empeche nullement en revanche d’autres sites moins massifs de devenir touches. OpenSSL etant tres utilise, ce qui renforce les risques de voir ses donnees exposees par bien un tas de services sur Internet. Notre plateforme de partage d’images Imgur pourrait i?tre ainsi affectee, ainsi que la page de rencontre OkCupid et meme le site du FBI, liste i nouveau le Guardian.
Depuis que la faille fut rendue publique, des petits outils permettent de verifier si tel ou tel site est concerne via le bug. Prudence neanmoins, previent Stephane Bortzmeyer: ces dispositifs ne semblent gui?re completement infaillibles et dorenavant que J’ai faille est publique, certains sites pourraient via ailleurs la maintenir volontairement Afin de pieger et identifier d’eventuels attaquants.
3. Que permet votre bug? Faut-il paniquer?
Complique a dire. A l’instar une majorite des observateurs et experts du reseau, Stephane Bortzmeyer concede que l’evenement reste «serieux», bien en avouant qu’il est «difficile de synthetiser votre que, concretement, ce bug va permettre ou non.»
Une chose reste sure, en fonction de lui: votre faille fera voler en eclats l’idee d’apri?s laquelle on est en marketing des que l’on apercoit 1 petit cadenas a cote de l’URL du website que l’on visite.
Mais la situation n’est nullement completement cataclysmique, du moins pour l’instant. Pour commencer, l’exploitation de votre bug permet non aucune siphonner toute la memoire des serveurs tout d’un site, mais seulement «un bout» (64KB seulement, l’equivalent tout d’un petit fichier texte, de la image. ), precise i nouveau l’expert reseau. En plus, l’individu qui profiterait en faille ne peut a priori gui?re controler ce que celui-ci va pecher.
Concretement, l’exploitation du bug a bel et bien permis a des personnes ayant connaissance du bug d’obtenir quelques identifiants, associes a leurs mots de passe, sur Yahoo. Ainsi, le Guardian raconte que cette vulnerabilite permet d’avoir votre apercu des «cookies d’la derniere personne a avoir visite le serveur affecte», ce qui «revele des informations personnelles de cet internaute», poursuit le journal anglais. Une conclusion que confirme Stephane Bortzmeyer:
«A ce moment la, pas besoin du mot de passe du visiteur, il est possible de se connecter a sa place.»
Si elle n’est gui?re impossible en soit, dans la mesure ou votre faille permettrait de voir l’ensemble du contenu une memoire d’un serveur touche, l’interception de numeros de carte bancaire ne parait gui?re avoir ete constatee en pratique, poursuit L’expert reseau. «Il y a une difference entre ce que c’est possible de faire et la pratique», previent-il.
Au sein des heures qui suivent, les specialistes de la securite sur Internet en apprendront si»rement davantage via votre que va permettre ou non votre vulnerabilite. Or, cette connaissance approfondie pourra bien aussi bien confirmer la gravite de la situation que l’infirmer.
Cette prudence vaut egalement pour les cles de chiffrement utilisees par des serveurs. A en croire Quelques experts en securite relayes par la presse, ces cles, qui permettront a priori de securiser une passage sur le serveur d’un site, seront egalement compromises. «Des attaquants peuvent prendre des copies de ces cles», ecrit CNet, quand le Guardian avance que le bug «ne permet gui?re seulement a toutes les attaquants de lire les donnees chiffrees et confidentielles; il leur permet aussi de prendre les cles de chiffrement utilisees pour securiser des donnees».
La i nouveau, precise Stephane Bortzmeyer, aucune preuve formelle n’a ete apportee.
Mise a jour (9 avril 2014, 16h): ce soir nous a informe que votre preuve fut depuis apportee. Et cela confirme les recommandations donnes au point 4. a toutes les administrateurs des serveurs affectes: reparer le bug puis creer de nouvelles cles de https://besthookupwebsites.org/fr/usasexguide-review/ chiffrement.
4. OK, donc je fais quoi?
Pour le moment, il n’y a pas vraiment de conseils precis a donner a toutes les internautes inquiets, «si ce n’est ne pas se servir de Internet, ce qui est un conseil plutot Complique!», reprend Stephane Bortzmeyer. Notre Guardian ne devoile d’ailleurs jamais nouvelle chose, indiquant:
Sachez qu’il ne sert a rien, dans un premier moment du reste, de remplacer ses mots de marche. Si le vol des cles de chiffrement se confirme Par exemple, les attaquants peuvent aussi s’en servir pour «dechiffrer les communications passees voire futures», indique i nouveau CNet.
Neanmoins, votre changement va etre indispensable des que vous vous serez assure que nos sites concernes via votre bug ont fera le important concernant le reparer, ainsi, ne plus en subir nos effets a l’avenir.
De votre fait, la responsabilite incombe dans un premier temps libre aux individus en charge des serveurs des e-boutiques en question, estime Stephane Bortzmeyer. Ces derniers doivent Indeniablement faire le utile pour reparer ce bug avant de refaire une cle de chiffrement, pour’eviter toute nouvelle compromission.
Andrea Fradin
Mise a jour le 9 avril 2014 concernant l’extraction des cles de chiffrement et les recommandations pour se proteger des effets du bug.