Publicité

Que sait-on de « Heartbleed », l'inquiétante faille de sécurité sur Internet ?

Une importante faille de sécurité a été découverte, mardi 8 avril, dans un dispositif de protection des données échangées sur Internet utilisé par un nombre très important de sites et de services dans le monde. Elle permet, dans certaines conditions, de récupérer codes et mots de passe.
■Où se situe cette faille ?
La faille, découverte au sein du logiciel OpenSSL, a été baptisée « Heartbleed » (« cœur qui saigne ») en référence au mode de fonctionnement du logiciel. Ce dernier est chargé de mettre en œuvre un moyen de protection utilisé quotidiennement par des centaines de millions d'internautes, les protocoles TLS/SSL.

Ces derniers, malgré leur appelation obscure, sont fondamentaux. Ils permettent à votre navigateur Internet d'authentifier la page sur laquelle vous vous connectez, mais surtout de camoufler mots de passe, codes de cartes bancaires et plus généralement toutes les données que vous échangez avec ce site. C'est cette technologie qui est symbolisée par l'affichage de la fameuse icône en forme de cadenas dans la barre de navigation. Outre les sites Web, cette technologie est également utilisée par de nombreux services sur Internet (messageries, applications...).

OpenSSL, installé sur le serveur du site auquel l'internaute se connecte, est un logiciel chargé de mettre en œuvre cette protection. Il s'agit d'un des outils favoris des sites Web : selon le site américain The Verge, deux serveurs sur trois pourraient être concernés. Si la faille ne touche pas toutes les versions du logiciel, elle est vieille d'environ deux ans.

■Est-ce que c'est grave ?
Oui. Cette faille permet à d'éventuels pirates de récupérer des informations stockées sur la mémoire des serveurs du site vulnérable. Des informations personnelles censées être inaccessibles et protégées : plusieurs experts sont aisément parvenus à retrouver des mots de passe d'utilisateurs de sites vulnérables.

« Le nombre d'attaques qu'ils peuvent effectuer est sans limite », indique Fox-IT, entreprise spécialisée dans la sécurité informatique. Mais s'il s'agit d'une faille majeure, ses contours précis et sa portée réelle sont encore flous.

Enfin, il est envisageable que les certificats, sorte de clé de voûte de la sécurisation des données par TLS/SSL, censés être privés et très protégés, aient été rendus accessibles par la faille. Ce qui signifie que même lorsque la faille d'OpenSSL sera corrigée et la nouvelle version appliquée aux sites vulnérables, des assaillants qui ont préalablement intercepté la clé nécessaire au déchiffrement des données protégées seront encore en mesure d'y accéder.

« Ce sont les joyaux de la couronne, les clés de chiffrement elles-mêmes », souligne le site Heartbleed.com. Ces clés « permettent aux pirates de déchiffrer tous les trafics, passés et à venir, vers les services protégés et d'imiter ces services ».

Il est également possible que les « cookies », ces fichiers qui stockent vos identifiants sur un site afin de vous identifier, soient également accessibles, ce qui permet potentiellement à un assaillant de se connecter en votre nom au site en question.

Adam Langley, un informaticien de Google qui a participé à la correction de la faille, est cependant plus mesuré, et explique n'avoir pu accéder lors de ses tests qu'à des informations très parcellaires.

 

■Quels sites sont touchés ?
OpenSSL étant utilisé par un très grand nombre de sites et de services, la faille est très répandue. Cette faille, très importante, a mobilisé d'importantes ressources au sein des grandes entreprises, et nombre d'entre elles ont déployé des correctifs assez rapidement. Des « géants » de l'Internet, seul Yahoo! a été semble-t-il concerné (la faille y a été, depuis, corrigée).

Apple, Google, Microsoft et la majorité des sites d'e-commerce et bancaires ne le sont pas – il existe plusieurs manières d'implémenter OpenSSL, ainsi que des systèmes alternatifs, et toutes les versions ne sont pas touchées.

Selon le site Mashable, « Facebook et Twitter utilisent OpenSSL sur certains de leurs serveurs mais il n'est pas encore établi s'ils sont vulnérables ou pas ». « Facebook a effectué une mise à jour de sécurité, tout comme Google », précise le site. Le réseau social ainsi que Yahoo! ont recommandé à leurs utilisateurs de changer leurs mots de passe, écrit le Washington Post.

Mais de plus petits sites, traitant des données confidentielles, peuvent mettre davantage de temps à être protégés. Par ailleurs, il faut noter que certains sites, pourtant vulnérables, ne traitent pas d'informations sensibles.


■Que faire ?
Dans un monde idéal, il faudrait éviter les activités sensibles (courriels, banque, achats...) sur Internet pendant quelques temps. C'est ce que recommande par exemple un billet publié sur le site de Tor, un système d'anonymisation sur Internet.

Dans un premier temps, pour les utilisateurs lambda, changer de mot de passe est inutile, et peut même être contre-productif. En effet, si la faille d'OpenSSL n'est pas corrigée sur le site, le nouveau mot de passe pourra être visible à son tour. Il faut donc, avant tout, attendre que les responsables des sites vulnérables mettent à jour leurs dispositifs de sécurité. Puis, pour l'utilisateur, relancer le site ou le service pour que ces nouvelles protections s'appliquent.

Il est conseillé de surveiller, dans les prochains jours, les annonces des sites que vous utilisez afin de s'assurer qu'ils prennent les mesures nécessaires. En cas de doute, le site Filippo.io/Heartbleed permet de tester si un site est vulnérable ou non. Une liste (non exhaustive) est disponible ici. En revanche, certaines mesures nécessaires ne sont pas détectées par ce site, comme le renouvellements des certificats ou des mots de passe des administrateurs.


Enfin, soyez particulièrement vigilants quant aux courriels que vous recevrez dans les prochains jours. Certains adeptes du phishing (vous faire croire que vous allez sur le site de votre banque, par exemple, alors qu'il s'agit d'un site pirate), pourrait utiliser certaines des données interceptées pour vous cibler.

 

 

Faille Heartbleed : les sites pour lesquels il est conseillé de changer son mot de passe

Deux jours après la révélation d'une faille de sécurité au sein du protocole OpenSSL, baptisée « Heartbleed », cette dernière est décrite par certains comme « le pire cauchemar » qui puisse arriver concernant la sécurité des échanges sur Internet.
Le logiciel libre OpenSSL est installé sur les serveurs de très nombreux sites pour établir des connexions chiffrées et sécurisées entre ce dernier et ses utilisateurs. De très nombreux sites Internet utilisent OpenSSL pour sécuriser leurs échanges. Cette précaution est repérable, par exemple, lorsqu'un verrou s'affiche au moment d'un paiement en ligne, ou lorsque l'URL d'un site commence par « https » (le « s » signifiant « sécurisé »).

Le bug Heartbleed (dont l'origine se trouve être une erreur de programmation d'un développeur allemand) permet, en théorie, à des pirates informatiques de pouvoir récupérer un grand nombre d'informations sur les utilisateurs des sites utilisant ce protocole de sécurité (leurs identifiants et mots de passe, leurs codes de cartes bancaires, etc.).

Lire : Que sait-on de « Heartbleed », l'inquiétante faille de sécurité sur Internet ?

L'ampleur des dégâts causés n'est pas connue, personne n'ayant réussi à dire pour le moment si des pirates ont découvert ce bug avant son identification par des ingénieurs et l'alerte mondiale lancée lundi 7 avril. Cette dernière précise que le bug est présent dans toutes les versions des logiciels OpenSSL sorties depuis mars 2012. Et que son exploitation par des personnes mal intentionnées ne laisse aucune trace.


Anthony Morel revient, dans sa chronique Culture Geek, sur l'importante faille de sécurité, découverte au sein du logiciel OpenSSL, baptisée "Heartbleed", en référence au mode de fonctionnement du logiciel. Certains experts estiment qu'il s'agit du pire problème de sécurité informatique de la décennie car c'est une vulnérabilité détectée au sein d'un logiciel de cryptage utilisé par la moitié des sites mondiaux. En s'engouffrant dans cette brèche, n'importe quel pirate peut récupérer des identifiants, des mots de passe ou encore espionner des communications, le tout sans laisser de trace.

MISE À JOUR DE NOMBREUX SITES

Beaucoup de sites concernés par le problème ont, depuis l'annonce, dit avoir effectué la mise à jour nécessaire pour combler la faille de sécurité. Cela signifie que les utilisateurs de ces sites, dont les données ont pu être avant cela accessibles aux pirates en raison de Heartbleed, peuvent désormais changer leurs identifiants et leurs mots de passe. Cela afin d'être sûr que personne ne puisse se servir des données qui auraient pu être obtenues en exploitant le bug, entre mars 2012 et le 7 avril.

« Si des personnes se sont identifiées sur un de ces services pendant un moment où il était vulnérable, il y a un risque pour que le mot de passe ait été récolté. C'est une bonne idée de changer ses mots de passe sur tous les portails qui ont fait la mise à jour d'OpenSSL », assure un expert en sécurité informatique à la BBC.

Parmi les sites ci-dessous, plusieurs ont d'ailleurs explicitement demandé à leurs utilisateurs de mettre à jour leurs informations d'identification. D'autres ont simplement dit avoir comblé la faille de sécurité, sans préciser s'il fallait ou non changer ses identifiants.

Puisque, de l'aveu même des ingénieurs de Google ayant découvert Heartbleed, « l'exploitation de ce bug [par des pirates] ne laisse aucune trace anormale » et est indétectable, nous vous conseillons de créer un nouveau mot de passe (qui ne soit pas « motdepasse » ou « 123456 ») pour tous les sites ayant annoncé avoir fait une mise à jour d'OpenSSL.

A lire avant de vous lancer dans le renouvellement de vos identifiants : comment choisir un bon mot de passe ?

■Facebook. Selon la déclaration du réseau social à Mashable : « Nous avons protégé notre protocole OpenSSL avant que le problème ne soit rendu public [grâce à des informations partagées directement par des ingénieurs de Google travaillant sur OpenSSL]. Nous n'avons pas détecté d'activités suspectes sur des comptes Facebook liées à ce bug. Néanmoins, nous encourageons les utilisateurs de profiter de ce moment pour mettre en place un nouveau mot de passe unique pour Facebook. »
■Google, et plus précisément ses applications Gmail, YouTube, Wallet, Play. « Nous avons évalué la vulnérabilité d'OpenSSL et avons décidé d'appliquer un patch de sécurité aux services-clés de Google, comme la recherche, Gmail, YouTube, Wallet, Play, Apps, et App Engine », déclarent les équipes de sécurité de Google sur leur blog.
■Yahoo!, dont les services Yahoo Mail, Flickr et Tumblr sont concernés, dit que « les corrections appropriées ont été apportées à tout le portail ». Les équipes de Tumblr poussent leurs utilisateurs à changer tous leurs mots de passe sur tous les sites Internet.
■Airbnb et Netflix. The Wall Street Journal rapporte que ces deux services ont mis à jour leur protocole OpenSSL après la publication de l'alerte lundi 7 avril.
■Dropbox. Le service de stockage en ligne a expliqué avoir fait une mise à jour de sécurité pour tous ses services.
■Pinterest. « Nous avons réparé le problème sur Pinterest.com et n'avons trouvé aucune preuve de fraude. Néanmoins, pour être prudent, nous avons envoyé à des utilisateurs qui auraient pu être concerné des e-mails pour qu'ils changent leurs mots de passe », ont expliqué les équipes du réseau social à Mashable.

■Instagram. « Nos équipes de sécurité ont travaillé rapidement pour réparer le problème, et nous n'avons pas trouvé de preuves comme quoi un compte utilisateur avait été affecté. Mais, puisque cet événément a un impact sur de nombreux services, nous recommandons que vous changiez votre mot de passe sur Instagram, particulièrement si vous utilisez le même sur d'autres sites », peut-on lire sur Mashable.
■Twitter. Le réseau social assure que « ses serveurs et ses API n'ont pas été affectés par la vulnérabilité », mais a néanmoins déclaré à Mashable avoir mis à jour ses protocoles OpenSSL.
■Ou encore, selon les informations récoltées par Mashable, les sites Etsy, GitHub, IFTTT, le jeu vidéo Minecraft, le service de rencontre OKCupid, SoundCloud.

Note : cette liste est susceptible d'être mise à jour, des services comme WordPress ayant dit qu'ils étaient toujours en train d'appliquer les correctifs adéquats.

Concernant les sites français, plusieurs services bancaires comme le Crédit Agricole, la Société générale et le Crédit Mutuel ont assuré sur Twitter et au site NextInpact que leurs services n'avaient pas été affectés par « Heartbleed ». Darty a en revanche confirmé avoir utilisé une version vulnérable d'OpenSSL, et avoir réparé le problème le 9 avril : les utilisateurs du site de commerce sont vivement invités à changer de mot de passe.

 

 

La NSA dément avoir profité de la faille de sécurité Heartbleed

La NSA a démenti vendredi 11 avril des révélations de l'agence Bloomberg selon lesquelles l'agence de surveillance américaine avait connaissance et exploité à son profit le bug « Heartbleed », une faille de sécurité découverte dans un logiciel utilisé pour sécuriser les connexions entre un site Internet et ses utilisateurs.

Citant « des sources proches du dossier », Bloomberg affirmait que la NSA (agence nationale de sécurité) avait identifié « Heartbleed » juste après son apparition dans le logiciel OpenSSL, en décembre 2011.

Cette faille, dont l'exploitation par des pirates est indétectable et ne laisse aucune trace, est selon l'agence de presse « devenue une composante de la boîte à outils de l'agence pour dérober des mots de passe », dans le cadre de son vaste programme de surveillance du Web opéré par la NSA.

La faille « Heartbleed » touche certaines versions du logiciel OpenSSL, un logiciel libre très utilisé pour les connexions sécurisées sur internet, matérialisées par exemple par une adresse démarrant par https ou un petit cadenas lors des transactions bancaires.

« Heartbleed » peut, en théorie, permettre à des pirates de récupérer dans la mémoire des serveurs informatiques des données fournies lors de ces connexions protégées : code source, mots de passe, « clés » utilisées pour déverrouiller des données cryptées, etc.


Anthony Morel revient, dans sa chronique Culture Geek, sur l'importante faille de sécurité, découverte au sein du logiciel OpenSSL, baptisée "Heartbleed", en référence au mode de fonctionnement du logiciel. Certains experts estiment qu'il s'agit du pire problème de sécurité informatique de la décennie car c'est une vulnérabilité détectée au sein d'un logiciel de cryptage utilisé par la moitié des sites mondiaux. En s'engouffrant dans cette brèche, n'importe quel pirate peut récupérer des identifiants, des mots de passe ou encore espionner des communications, le tout sans laisser de trace.
2:40
Consultez la liste des sites pour lesquels il est conseillé de changer son mot de passe, et nos conseils pour en choisir un nouveau suffisamment sécurisé

 

« PAS AU COURANT »

« La NSA n'était pas au courant de la vulnérabilité récemment identifiée dans OpenSSL, appelée faille Heartbleed, jusqu'à ce qu'elle soit rendue publique dans un rapport d'une société privée de sécurité informatique [paru lundi 7 avril]. Les informations faisant état du contraire sont fausses », a déclaré, vendredi soir, une porte-parole de la NSA en réaction à l'article de Bloomberg.

La porte-parole du Conseil de sécurité nationale (NSC, dépendant de la Maison Blanche), Caitlin Hayden, a également démenti que « la NSA ou toute autre branche du gouvernement » aient eu connaissance de la faille.

« Le gouvernement fédéral a lui aussi recours à l'OpenSSL pour protéger les utilisateurs de sites internet gouvernementaux. Cette administration prend au sérieux sa responsabilité d'aider au maintien d'un internet ouvert, interopérable, sécurisé et sûr. Si le gouvernement fédéral, y compris la communauté du renseignement, avaient découvert cette vulnérabilité avant la semaine passée, elle en aurait informé la communauté responsable de l'OpenSSL », peut-on lire dans un communiqué.

 

From : le Monde ( Martin Untersinger ,Michaël Szadkowski ),....

 

 

 

 

 


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Publicité
Tag(s) : #Stratégie - Défense - Relations Internationales
Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :