Heartbleed, la faille de sécurité qui touche Internet

heartbleed

Elle existe depuis 2 ans, mais elle n’a été révélée que dans la nuit du 7 au 8 avril. Heartbleed (« coeur qui saigne » en anglais), est une faille qui affecte le service OpenSSL, qui permet de chiffrer les communications sur Internet, généralement symbolisé par un verrou à côté de l’URL.

Qu’est ce qu’Heartbleed ?

Heartbleed existerait depuis décembre 2011 et le problème se serait accru en 2012 lors de la mise à jour du code de l’OpenSSL. Corrigée depuis quelques jours, la faille aurait permis pendant 2 ans de lire la mémoire des systèmes « protégés » par des versions vulnérables du logiciel OpenSSL, ce qui inclut informations personnelles, mots de passe ou données bancaires. Plus inquiétant, elle aurait permis aux pirates de décrypter les trafics vers les services protégés et de les imiter.

Quels risques ?

La bibliothèque de cryptage OpenSSL est utilisée par de nombreux serveurs Web. On parle même de 2 sites sur trois. Mais toutes les versions d’OpenSSL ne contenant pas la faille, il faut rester prudent et ne pas céder à une panique générale. Parmi les géants du Web, seul Yahoo aurait été affecté, ainsi que des sites comme Flickr (voir liste non exhaustive).

Une faille à prendre – aussi bien dans ses causes que ses conséquences – au conditionnel, puisque certains flous persistent encore sur ce bug. Dans tous les cas, la responsabilité pour le corriger incomberait dans un premier temps aux personnes en charge des serveurs des sites en question.

Source (en anglais)

Les dernières publications

4 réflexions au sujet de “Heartbleed, la faille de sécurité qui touche Internet”

  1. « Plus inquiétant, elle aurait permis aux pirates de décrypter les trafics vers les services protégés » ou des organisations gouvernementales…

  2. Pourquoi il y a un flou ? La faille existe bel et bien ^^ mais comme tu dis c’est uniquement un problème coté serveur.

    Quant à la part de sites utilisant la librairie OpenSSL, elle est à mon humble avis bien plus grande que 2 sites sur 3. Je pense que ce ratio concerne plus le nombre de sites ayant les versions incriminées, qui sont généralement livrées avec les dernières versions stables des systèmes d’exploitation (de serveurs).

    Le vrai cauchemar des administrateurs système c’est que cette faille touche par extension OpenSSH qui sert à contrôler les serveurs à distance. Pendant 2 ans les clés de sécurité d’une majorité de serveurs ont été potentiellement compromises, donnant donc l’accès à ces systèmes.

Les commentaires sont fermés.

Tuxboard