Le bug Heartbleed nous met-il l’ensemble de a poil via Internet?
Temps de lecture
L e nom a de quoi faire paniquer. Heartbleed (Afin de «coeur qui saigne») est votre bug detecte dans la nuit du lundi 7 au mardi 8 avril, qui permettrait d’acceder a une partie des informations stockees sur un grand nombre de serveurs des services dans Internet: sites, et messageries ou encore bien «dispositifs de mise a jour des smartphones», precise a Slate l’expert reseau Stephane Bortzmeyer.
En pertinent donc, «vos identifiants et mots de marche ont la possibilite de etre compromis, ainsi que vos echanges chiffres», previent NextINpact. D’autres medias avancent aussi que les numeros de cartes bancaires employees i propos des sites d’e-commerce peuvent avoir ete subtilises.
Aussi, est-ce l’instant de paniquer et de cesser toute sorte d’activite sur Internet?
1. C’est quoi votre bug?
Concretement, la faille Heartbleed affecte une prestation appele OpenSSL qui permet de chiffrer les communications sur Internet. Ce service est tres populaire et assure donc, a priori, la confidentialite de vos faits et gestes i propos des sites et services qui l’utilisent. Une protection qui s’appuie sur votre echange secret, explique le site specialise CNet, entre des serveurs du website proprement dit et nos internautes:
«Les serveurs internet qui l’utilisent envoient une cle de chiffrement a un visiteur, qui reste ensuite utilisee Afin de abriter l’ensemble des autres informations entrant et sortant du serveur.»
Notre fameuse faille Heartbleed aurait ete creee en 2011 au cours en mise a jour du code d’OpenSSL. Elle n’a ete rendue publique que dans la nuit du 7 au 8 avril.
2. Quels sites sont concernes?
Pour commencer, seul Yahoo pourrait etre concerne via cette faille parmi les gros bonnets du internet, de ceux qui nous viennent immediatement a l’atmosphi?re: «Google, Microsoft, Twitter, Facebook, Dropbox, ainsi, d’autres sites majeurs» seraient ainsi epargnes, explique CNet.
Ca n’empeche jamais en revanche d’autres sites moins massifs d’etre touches. OpenSSL etant tres utilise, i§a renforce les risques de voir ses donnees exposees par bien un tas de services sur Internet. La plateforme de partage d’images Imgur pourrait etre ainsi affectee, ainsi que le website de rencontre OkCupid et meme le blog du FBI, liste bien le Guardian.
Depuis que Notre faille fut rendue publique, des petits outils permettent de verifier si tel ou tel site est concerne via le bug. Prudence neanmoins, previent Stephane Bortzmeyer: ces dispositifs ne sont jamais completement infaillibles et maintenant que J’ai faille reste publique, plusieurs sites pourraient par ailleurs la maintenir volontairement Afin de pieger et identifier d’eventuels attaquants.
3. Que va permettre ce bug? Faut-il paniquer?
Complique a dire. A l’identique une majorite des observateurs et experts du reseau, Stephane Bortzmeyer concede que l’evenement est «serieux», tout en avouant que c’est «difficile de synthetiser ce que, concretement, votre bug va permettre ou non.»
Une chose est sure, d’apri?s lui: votre faille fera voler en eclats l’idee d’apri?s laquelle on est en marketing des qu’on apercoit votre petit cadenas a cote de l’URL du website que l’on visite.
Mais la situation n’est jamais totalement cataclysmique, du moins Afin de l’instant. Pour commencer, l’exploitation de ce bug permet non pas de siphonner toute la memoire des serveurs tout d’un site, mais seulement «un bout» (64KB juste, l’equivalent tout d’un petit fichier propos, d’une image. ), precise encore l’expert reseau. De surcroi®t, l’individu qui profiterait de la faille ne peut a priori pas controler ce que celui-ci va pecher.
Concretement, l’exploitation du bug a bel et bien permis a des personnes ayant connaissance du bug d’avoir certains identifiants, associes a leurs mots de marche, sur Yahoo. Ainsi, le Guardian raconte que votre vulnerabilite permettra d’avoir 1 apercu des «cookies d’la derniere personne a avoir visite le serveur affecte», cela «revele des precisions personnelles de cet internaute», poursuit le journal anglais. Une conclusion que confirme Stephane Bortzmeyer:
«A ce moment la, pas besoin du mot de passe du visiteur, c’est possible de se connecter a sa place.»
Si elle n’est pas impossible en soit, dans la mesure ou une telle faille permettrait de voir l’ensemble du contenu d’une memoire tout d’un serveur touche, l’interception de numeros de carte bancaire ne parait pas avoir ete constatee en commode, poursuit le specialiste reseau. «Il y a une difference entre votre que c’est possible d’effectuer et la pratique», previent-il.
En heures qui suivent, les specialistes en securite sur Internet en apprendront si»rement davantage concernant votre que permettra ou non cette vulnerabilite. Or, cette connaissance approfondie pourra tout aussi bien confirmer la gravite une situation que l’infirmer.
Cette prudence vaut egalement pour nos cles de chiffrement employees par des serveurs. A en croire Quelques experts en securite relayes par la presse, ces cles, qui permettent a priori de securiser notre passage dans le serveur tout d’un site, paraissent egalement compromises. «Des attaquants peuvent prendre des copies de ces cles», ecrit CNet, quand le Guardian avance que le bug «ne permet jamais seulement aux attaquants de lire les donnees chiffrees et confidentielles; il leur permet aussi de prendre les cles de chiffrement employees pour securiser nos donnees».
La i nouveau, precise Stephane Bortzmeyer, aucune preuve formelle n’a ete apportee.
Mise a jour (9 avril 2014, 16h): ce soir nous a informe que une telle preuve fut depuis apportee. Et cela confirme les conseils donnes au point 4. aux administrateurs des serveurs affectes: reparer le bug mais aussi creer de nouvelles cles de chiffrement.
4. OK, donc je fais quoi?
Pour le moment, il n’y a moyennement de astuces precis a donner a toutes les internautes inquiets, «si ce n’est ne point choisir Internet, et cela est un conseil plutot difficile!», reprend Stephane Bortzmeyer. Notre Guardian ne devoile d’ailleurs pas nouvelle chose, indiquant:
Sachez que celui-ci ne sert a rien, dans un premier temps libre du reste, de changer ses mots de marche. Si le vol des cles de chiffrement se confirme Dans les faits, les attaquants ont la possibilite de aussi s’en servir Afin de «dechiffrer nos communications passees voire futures», indique encore CNet.
Neanmoins, votre changement va i?tre indispensable des que vous vous serez assure que nos sites concernes via ce bug ont fait le utile pour le reparer, ainsi, ne plus en subir nos effets a l’avenir.
De ce fera, la responsabilite incombe dans un premier moment a toutes les personnes en charge des serveurs des e-boutiques en question, estime Stephane Bortzmeyer. Ces derniers doivent Effectivement Realiser le utile Afin de reparer ce bug avant de refaire une cle de chiffrement, pour’eviter toute nouvelle compromission.
Andrea Fradin
Mise a jour le 9 avril 2014 via l’extraction des cles de chiffrement et les recommandations Afin de s’abriter des effets du bug.