Heartbleed: la faille inquiétante d'un logiciel omniprésent sur la Toile

Par cette faille, les pirates peuvent récupérer des informations en passant par la mémoire des serveurs de l'ordinateur, selon des spécialistes de la société de sécurité informatique Fox-IT.

Cette faille a été appelée "Heartbleed" en référence à l’extension d'OpenSSL qu’elle affecte: heartbeats. Cette dernière lance régulièrement des requêtes pour vérifier que la connexion avec un serveur est encore active. Autrement, elle prend le "pouls" virtuel de la connexion.

Selon Netcraft, plus de 60% des sites Web "actifs" sont hébergés sur des serveurs Web exploitant OpenSSL. La faille Heartbleed n’affecte cependant pas les versions d’OpenSSL antérieures à la version 1.0.1, activée en mars 2012. En outre, seuls 17,5% des sites exploitant SSL ont activé l’extension Heartbeat. Seuls ces derniers sont menacés par la faille.

"Nous avons testé nos services. Nous avons attaqué nos propres sites, de l’extérieur, sans laisser aucune trace. Nous sommes parvenus à voler les clefs de cryptage, les noms d’utilisateurs et les mots de passes ainsi que les messages instantanés, les e-mails et des documents sensibles concernant nos activités commerciales", explique le site heartbleed.com qui donne des informations de vulgarisation sur les vulnérabilités de la faille.

"Ce sont les joyaux de la couronne, les clés d'encodage elles-mêmes", souligne le site heartbleed.com.

La faille existerait depuis... deux ans

Parmi les informations susceptibles d'êtres récupérées par les pirates figurent donc le code source (instructions pour le microprocesseur), les mots de passe, et les "clés" utilisées pour déverrouiller des données cryptées ou imiter un site.

Ces clés "permettent aux pirates de décrypter tous les trafics, passés et à venir, vers les services protégés et d'imiter ces services".

Grâce à cette faille, des chercheurs en sécurité informatique ont rapporté avoir été capables de récupérer des informations de mots de passe de Yahoo!, qui a précisé mardi avoir pu résoudre le problème. Selon Fox-IT, cette faille existe depuis deux ans environ.

Un billet sur le site Tor Project, qui milite pour l'anonymat en ligne, exhorte ceux qui ont des besoins élevés en matière de protection en ligne d'éviter d'utiliser internet pendant quelques jours, afin de permettre aux sites et aux serveurs d'améliorer leur sécurité.

Le Canada bloque l'accès à son service de déclaration d'impôt en ligne

Preuve que la menace est sérieuse, l’autorité fiscale canadienne (CRA) a bloqué temporairement l’accès au service en ligne permettant de remplir sa déclaration fiscale. Il s’agit d’une mesure "préventive" pour "sauvegarder l’intégrité des informations dont nous disposons", a expliqué un porte-parole au Wall Street Journal.

La mesure a été prise "comme précaution jusqu’à ce que l’agence soit certaine que les risques ont été éliminés", a encore précisé le porte-parole.

Ju. Vl. avec AFP

Newsletter info

Recevez chaque matin l’essentiel de l'actualité.

OK