Le bug Heartbleed nous met-il l’ensemble de a poil via Internet?

Temps de lecture

L e nom a de quoi faire paniquer. Heartbleed (Afin de «coeur qui saigne») est votre bug detecte dans la nuit du lundi 7 au mardi 8 avril, qui permettrait d’acceder a une partie des renseignements stockees sur un large panel de serveurs des services concernant Internet: sites, puis messageries ou encore bien «dispositifs de mise a jour des smartphones», precise a Slate l’expert reseau Stephane Bortzmeyer.

En net donc, «vos identifiants et mots de marche vont pouvoir etre compromis, ainsi que vos echanges chiffres», previent NextINpact. D’autres medias avancent aussi que les numeros de cartes bancaires employees i  propos des sites d’e-commerce peuvent avoir ete subtilises.

Aussi, est-ce l’instant de paniquer et de cesser tous types d’activite sur Internet?

1. C’est quoi votre bug?

Concretement, la faille Heartbleed affecte un service appele OpenSSL qui permet de chiffrer les communications sur Internet. Ce service reste tres populaire et assure donc, a priori, la confidentialite de vos faits et gestes sur les sites et services qui l’utilisent. Une protection qui s’appuie sur un echange secret, explique le blog specialise CNet, entre des serveurs du site proprement dit et des internautes:

«Les serveurs web qui l’utilisent envoient une cle de chiffrement a 1 visiteur, qui est ensuite utilisee Afin de couvrir l’ensemble des autres informations entrant et sortant du serveur.»

Notre fameuse faille Heartbleed aurait ete creee en 2011 au cours en mise a jour du code d’OpenSSL. Elle n’a ete rendue publique que dans la nuit du 7 au 8 avril.

2. Quels sites seront concernes?

Pour commencer, seul Yahoo pourrait etre concerne avec une telle faille parmi les gros bonnets du web, de ceux qui nous viennent immediatement a l’atmosphi?re: «Google, Microsoft, Twitter, Facebook, Dropbox, ainsi, d’autres sites majeurs» seraient ainsi epargnes, explique CNet.

Ca n’empeche gui?re en revanche d’autres sites moins massifs d’etre touches. OpenSSL etant tres utilise, ceci renforce les risques d’observer ses donnees exposees par tout un tas de services sur Internet. La plateforme de partage d’images Imgur pourrait i?tre ainsi affectee, ainsi que le blog de rencontre OkCupid et meme le website du FBI, liste encore le Guardian.

Depuis que Notre faille a ete rendue publique, des petits outils permettent de verifier si tel ou tel site est concerne avec le bug. Prudence neanmoins, previent Stephane Bortzmeyer: ces dispositifs ne sont http://besthookupwebsites.org/fr/politique-rencontres-sites/ jamais completement infaillibles et maintenant que J’ai faille reste publique, Divers sites pourraient par ailleurs la maintenir volontairement Afin de pieger et identifier d’eventuels attaquants.

3. Que va permettre ce bug? Faut-il paniquer?

Difficile a affirmer. A l’identique en majorite des observateurs et experts du reseau, Stephane Bortzmeyer concede que l’evenement reste «serieux», bien en avouant qu’il sera «difficile de synthetiser votre que, concretement, ce bug va permettre ou non.»

Une chose est sure, en fonction de lui: votre faille fera voler en eclats l’idee en fonction de laquelle on est en securite des qu’on apercoit votre petit cadenas a cote de l’URL du website que l’on visite.

Neanmoins, ca n’est nullement totalement cataclysmique, du moins Afin de l’instant. Pour commencer, l’exploitation de votre bug permet non aucune siphonner toute la memoire des serveurs tout d’un site, mais seulement «un bout» (64KB juste, l’equivalent d’un petit fichier propos, de la image. ), precise i  nouveau l’expert reseau. De surcroit, l’individu qui profiterait d’une faille ne peut a priori jamais controler votre que celui-ci va pecher.

Concretement, l’exploitation du bug a bel et bien permis a des personnes ayant connaissance du bug d’obtenir deux identifiants, associes a leurs mots de marche, sur Yahoo. Ainsi, le Guardian raconte que une telle vulnerabilite permettra d’avoir un apercu des «cookies de la derniere personne a avoir visite le serveur affecte», et cela «revele des renseignements personnelles de cet internaute», poursuit le journal anglais. Une conclusion que confirme Stephane Bortzmeyer:

«A ce moment la, pas besoin du mot de passe du visiteur, c’est possible de se connecter a sa place.»

Si elle n’est gui?re impossible en soit, dans la mesure ou votre faille permettrait d’observer l’ensemble du contenu de la memoire d’un serveur touche, l’interception de numeros de carte bancaire ne parai®t jamais avoir ete constatee en fonctionnel, poursuit le specialiste reseau. «Il y a une difference entre ce qu’il est possible de faire et la pratique», previent-il.

En heures qui suivent, les specialistes d’la securite sur Internet en apprendront si»rement davantage sur ce que va permettre ou non une telle vulnerabilite. Or, cette connaissance approfondie pourra tout aussi bien confirmer la gravite en situation que l’infirmer.

Cette prudence coi»te egalement Afin de les cles de chiffrement employees par les serveurs. A en croire certains experts en securite relayes par la presse, ces cles, qui permettent a priori de securiser une passage dans le serveur d’un site, paraissent egalement compromises. «Des attaquants peuvent prendre des copies de ces cles», ecrit CNet, quand le Guardian avance que le bug «ne permet pas seulement a toutes les attaquants de lire les donnees chiffrees et confidentielles; il leur permet aussi de prendre les cles de chiffrement utilisees pour securiser les donnees».

La bien, precise Stephane Bortzmeyer, aucune preuve formelle n’a ete apportee.

Mise a jour (9 avril 2014, 16h): votre soir nous a informe que une telle preuve a ete depuis apportee. Cela confirme les recommandations donnes au point 4. aux administrateurs des serveurs affectes: reparer le bug mais aussi creer de nouvelles cles de chiffrement.

4. OK, donc je fais quoi?

Pour le moment, il n’y a moyennement de astuces precis a donner aux internautes inquiets, «si votre n’est ne point se servir de Internet, ce qui est un conseil plutot complexe!», reprend Stephane Bortzmeyer. Le Guardian ne devoile d’ailleurs nullement nouvelle chose, indiquant:

Sachez que celui-ci ne sert a rien, dans un premier temps en tout cas, de changer ses mots de passe. Si le vol des cles de chiffrement se confirme Dans les faits, les attaquants peuvent aussi s’en servir Afin de «dechiffrer les communications passees voire futures», indique i  nouveau CNet.

Neanmoins, ce changement sera indispensable des que vous vous serez assure que les sites concernes avec ce bug ont fait le important pour le reparer, et ne plus en subir des effets a l’avenir.

De ce fait, la responsabilite incombe dans un premier moment aux gens en charge des serveurs des sites en question, estime Stephane Bortzmeyer. Ces derniers doivent Effectivement Realiser le important pour reparer votre bug avant de refaire une cle de chiffrement, pour’eviter toute nouvelle compromission.

Andrea Fradin

Mise a jour le 9 avril 2014 dans l’extraction des cles de chiffrement et les conseils pour s’abriter des effets du bug.