[Le Monde – 09/04/2014]

Des spécialistes informatiques ont mis en garde, mardi 8 avril, contre une importante faille dans un logiciel d’encodage utilisé par la moitié des sites internet, qui permet aux pirates de pénétrer dans les ordinateurs pour y récupérer codes et mots de passe.

  • Où se situe cette faille ?

La faille, découverte par un informaticien de Google, a été baptisée « Heartbleed » (« cœur qui saigne ») parce qu’elle touche au cœur du logiciel OpenSSL, installé sur le serveur du site auquel l’internaute se connecte et qui permet de protéger ses mots de passe, ses numéros de carte bancaire ou d’autres données sur Internet.

Il est utilisé par un très grand nombre de sites Web – qui affichent une icône en forme de cadenas dans la barre de navigation sur leurs pages sécurisées – (voire deux serveurs sur trois, selon le site américain The Verge), mais la faille ne touche pas toutes les versions du logiciel. Selon Fox-IT, elle existe depuis deux ans environ. La gravité du problème a cependant été renforcée par des évolutions récentes dans le fonctionnement d’OpenSSL.

  • Que permet-elle ?

Via cette faille, des pirates peuvent récupérer des informations en passant par la mémoire des serveurs de l’ordinateur, selon des spécialistes de la société de sécurité informatique Fox-IT. « Le nombre d’attaques qu’ils peuvent effectuer est sans limite », indique-t-elle dans un billet recensant les procédures à suivre pour repousser les incursions.

Parmi les informations susceptibles d’êtres récupérées figurent le code source (instructions pour le microprocesseur), les mots de passe, et les« clés » utilisées pour déverrouiller des données cryptées ou imiter un site. « Ce sont les joyaux de la couronne, les clés d’encodage elles-mêmes », souligne le site Heartbleed.com. Ces clés « permettent aux pirates de décrypter tous les trafics, passés et à venir, vers les services protégés et d’imiter ces services ». Adam Langley, un informaticien de Google qui a participé à la correction de la faille, est cependant plus mesuré, et explique n’avoir pu accéder lors de ses tests qu’à des informations très parcellaires.

 

 

  • Quels sites sont touchés ?

OpenSSL est utilisé par un très grand nombre de sites, la faille est très répandue. Mais des « géants » de l’Internet, seul Yahoo! a été semble-t-il concerné. Apple, Google, Microsoft, Facebook et la majorité des sites d’e-commerce et bancaires ne le sont pas – il existe plusieurs manières d’implémenter OpenSSL, et toutes les versions ne sont pas touchées.

Grâce à cette faille, des chercheurs en sécurité informatique ont rapporté avoir donc été capables de récupérer des informations de mots de passe de Yahoo!, qui a précisé mardi avoir pu résoudre le problème. Egalement touché, Tumblr (qui appartient à Yahoo!) a annoncé mardi avoir corrigé le problème, selon le New York Times.

Le site Filippo.io/heartbleed permet de tester si un site est vulnérable ou non.

 

Le site Filippo.io/heartbleed permet de tester si un site est vulnérable ou non. Ouf, nous sommes saufs.

 

  • Que faire ?

Un billet sur le site Tor Project, qui milite pour l’anonymat en ligne, exhorte ceux qui ont des besoins élevés en matière de protection en ligne d’éviter d’utiliser Internet pendant quelques jours, afin de permettre aux sites et aux serveurs d’améliorer leur sécurité. La plupart des grands sites concernés ont annoncé avoir corrigé la faille ou être en mesure de le faire rapidement.

Si vous utilisez des sites concernés par la faille, il est recommandé par précaution de changer son mot de passe – mais uniquement une fois que la correction du problème a été confirmée.

http://www.lemonde.fr/technologies/article/2014/04/09/une-enorme-faille-de-securite-dans-de-nombreux-sites-internet_4397995_651865.html