Ce qu’il faut savoir sur Heartbleed et la sécurité des informations

Le bug Heartbleed est un grave défaut dans OpenSSL, un logiciel de chiffrement qui est en arrière plan des communications sécurisées sur le web. Il a été annoncé par des chercheurs en sécurité informatique, le 7 Avril 2014. Voyons ce qu’il en est.

heartbleed

Comment cela fonctionne-t-il? Le protocole SSL inclut une option “rythme cardiaque” (heartbeat) qui permet à un ordinateur d’envoyer un court message pour vérifier que l’ordinateur avec qui il est en contact est toujours en ligne et obtenir une réponse. Les chercheurs ont constaté qu’il est possible d’envoyer un de ces messages formé de façon malicieuse afin de forcer l’ordinateur contacté à divulguer des informations secrètes. Plus précisément, un ordinateur vulnérable peut être amené à transmettre le contenu de la mémoire du serveur.

Quelles sont les informations qui peuvent être compromises? En triant ces informations récoltés et en filtrant uniquement les parties intéressantes (en utilisant par exemple une technique simple appellée “pattern matching”), des personnes mal intentionnées tentent de trouver des clés secrètes, des mots de passe et des informations personnelles comme les numéros de carte de crédit.

Quels sont les ordinateurs qui sont en risque? Ce type de faille touche principalement ce qu’on appelle les serveurs. Autrement dit la plupart de nos ordinateur familiers au bureau et à la maison ne sont pas les plus exposés. Ce sont plutôt les sites web et les services en ligne que l’on utilise qui sont touchés. Par exemple, les services de messagerie, de stockage de fichiers à distance, de réseaux sociaux, de e-commerce, de banques, etc. La plupart des sites concernés ont pris des mesures pour mettre à jour leur logiciel et sécuriser leurs services. Le nombre exact de sites touchés n’est pas connu, mais la vulnérabilité est censée affecter une fraction importante de l’ensemble des sites sécurisés sur le Web (500’000 sites importants selon certaines sources).

Mais en fait c’est quoi exactement SSL? SSL est le protocole de sécurisation (Secure Socket Layer) qui chiffre les informations transmises entre un ordinateur et le site web visité. Lorsque l’on visite un site sécurisé, l’adresse apparaît avec le préfixe “https” et un petit cadenas fermé apparaît dans la plupart des navigateurs. Le SSL a été introduit depuis longtemps (Netscape 1994) et son implémentation logicielle varie. Plusieurs failles on déjà été trouvées par le passé, mais celle-ci est la plus étendue et la plus dangereuse.

Et pourquoi parle-t-on de OpenSSL? OpenSSL est un programme open source qui met en oeuvre le protocole SSL et qui est l’un des plus largement utilisés au monde. Il est distribué notamment avec les serveurs de sites Apache et nginx. La vulnérabilité existe depuis avril 2012 et elle peut être contournée.

Que dois-je faire comme utilisateur? Si vous êtes simple utilisateur, vous devez vous assurer que les sites que vous utilisez ont fait le nécessaire pour mettre à jour la partie défaillante. Vous pouvez toujours aussi avertir le propriétaire du site de votre questionnement et demander qu’il vous renseigne. De façon plus directe, les ressources ci-dessous vous permettront d’avoir une information avec l’adresse web du service. Dans le doute, il est préférable d’éviter d’introduire des informations qui doivent être sécurisées (password, login, cartes de crédit et autres informations sensibles) et de changer de password, seulement une fois que vous êtes certain que le site à été mis à jour. Ainsi vous vous assurez que les informations éventuellement compromises ne pourront pas être utilisées. Si vous êtes en charge d’un serveur, il faut absolument vérifier sa sécurité et prendre les mesures techniques nécessaires.

Quelles sont les ressources utiles?

Une liste des sites les plus connus et leur statut ainsi que les actions recommandées est disponible ici
http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

Une liste de sites testés est disponible ici
https://github.com/musalbas/heartbleed-masstest/blob/master/top10000.txt

Une adresse pour savoir si le site que vous allez visiter est affecté par le bug
http://filippo.io/Heartbleed/

The following two tabs change content below.
Futures studies, strategy, innovation, design thinking, services and foresight in the mix of technology and society. http://about.me/giorgio.pauletto

Derniers articles parGiorgio Pauletto (voir tous)

Share