« Heartbleed »
Une énorme faille de sécurité dans de nombreux sites internet
Des spécialistes informatiques ont mis en garde, mardi 8 avril, contre une importante faille dans un logiciel d'encodage utilisé par la moitié des sites internet, qui permet aux pirates de pénétrer dans les ordinateurs pour y récupérer codes et mots de passe.
Où se situe cette faille ?
La faille, découverte par un informaticien de Google, a été baptisée « Heartbleed » (« cœur qui saigne ») parce qu'elle touche au cœur du logiciel OpenSSL, installé sur le serveur du site auquel l'internaute se connecte et qui permet de protégerses mots de passe, ses numéros de carte bancaire ou d'autres données sur Internet. Il est utilisé par la moitié des sites web (voire deux serveurs sur trois,selon le site américain The Verge), mais la faille n'existe pas sur toutes les versions. Selon Fox-IT, cette faille existe depuis deux ans environ.
Que permet-elle ?
Par cette faille, les pirates peuvent récupérer des informations en passant par la mémoire des serveurs de l'ordinateur, selon des spécialistes de la société desécurité informatique Fox-IT. « Le nombre d'attaques qu'ils peuvent effectuer est sans limite », indique-t-elle dans un billet recensant les procédures à suivre pour repousser les incursions.
Parmi les informations susceptibles d'êtres récupérées par les pirates figurent le code source (instructions pour le microprocesseur), les mots de passe, et les« clés » utilisées pour déverrouiller des données cryptées ou imiter un site. « Ce sont les joyaux de la couronne, les clés d'encodage elles-mêmes », souligne le site Heartbleed.com qui détaille les vulnérabilités de la faille. Ces clés « permettent aux pirates de décrypter tous les trafics, passés et à venir, vers les services protégés et d'imiter ces services ».
Quels sites sont touchés ?
OpenSSL est utilisé par la moitié des sites internet donc la faille est très répandue. Mais des « géants » de l'Internet, seul Yahoo! a été semble-t-il concerné. Apple,Google, Microsoft, Facebook et la majorité des sites d'e-commerce et bancaires ne le sont pas.
Grâce à cette faille, des chercheurs en sécurité informatique ont rapporté avoirdonc été capables de récupérer des informations de mots de passe de Yahoo!, qui a précisé mardi avoir pu résoudre le problème. Egalement touché, Tumblr (qui appartient à Yahoo!) a annoncé mardi avoir corrigé le problème, selon le New York Times.
Le site Filippo.io/heartbleed permet de tester si un site est vulnérable ou non.