Autour du web |Posté le 10 avril 2014

Heartbleed : l’alerte de sécurité qui a fait trembler le web

Heartbleed : l’alerte de sécurité qui a fait trembler le web

La soirée du lundi au mardi 8 mars, Internet a été secouée par l’annonce de la faille découverte sur le logiciel Open SSL.

Baptisée Heartbleed, cette brèche concerne la moitié des sites web et permet, dans certaines conditions, de récupérer codes et passwords.

Open SSL, Késako ?

Pour les néophytes, l’open SSL est un service qui permet de coder les communications sur Internet pour assurer leur confidentialité.

Très populaire et, normalement efficace, il est utilisé par la grande majorité des sites internet pour protéger les données et traces de leurs utilisateurs.

Selon les spécialistes, le système de protection de l’open SSL se base sur un échange secret : « les serveurs utilisant ce service envoient une clé de chiffrement à un internaute, qui est ensuite utilisée pour protéger toutes les données qui entrent ou sortent du serveur. »

Et le Heartbleed alors ?

Sous cet appellation saupoudrée de dramatisme ce trouve une vraie catastrophe ! Cette faille découverte par Neel Mehta de Google Security existe, tenez vous bien … depuis 2011.

Selon le site heartbleed.com, les pirates peuvent profiter de cette faille pour récupérer des informations via la mémoire des serveurs.

Parmi ces données, on retrouve les numéros de cartes bancaires, les mots de passe, le code source et même les clés de déverrouillage des données cryptées. Définis par la même source comme étant «  les joyaux de la couronne » ces clés permettraient aux hackers de déchiffrer tous les trafics vers les services protégés et imiter ces derniers.

Faut-il paniquer ?

Fort heureusement, il semble que des géants du web tels que Facebook, Google, Twitter, Microsoft ou Amazon ne soient pas concernés. Ce qui n’est pas le cas de Yahoo. Aussi, les développeurs web sont invités à mettre à jour leur serveur. Et puisque les sites n’ont aucun moyen de savoir si la faille en question a été exploitée, ils ont été invités à renouveler leurs clés ainsi que leurs certificats de sécurité.

Pour sa part, un internaute lambda ne peut rien faire, si ce n’est qu’attendre que les sites appliquent le patch pour réinitialiser leurs logins, et de ne surtout pas oublier d’en faire de même sur tous les autres sites auxquels il accédait avec les mêmes informations.

 

 

Vos réactions

* Champs obligatoires