Rate this post

Ca fait deux jours qu’Internet tout entier est en alerte. Une faille de sécurité a été découverte dans la nuit du 7 au 8 avril. Le nom de cette faille : Heartbleed. Jusque-là, rien de bien inhabituel me diront certains, sauf que cette faille est présente depuis près de 2 ans, qu’elle concerne le cryptage des données qui transitent sur la toile et que le logiciel concerné par cette faille, OpenSSL, est utilisé par 2 sites sur 3.

Cadenas VertCommençons par resituer le contexte : le cryptage de données permet à certains sites de chiffrer les données échangées entre le client (l’utilisateur) et le serveur (l’endroit où le site internet est stocké). Les informations échangées sont multiples et variées, il peut s’agir d’un simple mail comme d’une transaction bancaire. Vous avez surement déjà vu le cadenas vert à côté de l’adresse du site internet débutant par « https:// », vous avez donc déjà utilisé un site internet cryptant ses échanges d’informations.

OpenSSL, la bibliothèque logiciel dont il est question lorsque l’on parle de la faille de sécurité appelée Heartbleed, est un service permettant de sécuriser les échanges de données entre le client et le serveur, ce qui permet de les crypter. Or, la faille découverte dans l’extension « Heartbeat » de OpenSSL permettrait à une personne mal intentionnée de récupérer les informations cryptées. Plusieurs sites importants ont confirmé avoir été affectés par cette faille, parmi eux, des sites bien connus, tels que Flickr, Imgur, Redtube ou encore Yahoo, qui semble être le seul « géant » du web à avoir été touché.

Mais inutile de paniquer pour l’instant. En effet, le chiffre de 2 sites sur 3 est à prendre avec des pincettes, car toutes les versions d’OpenSSL ne contiennent pas la faille permettant à Heartbleed de laisser fuiter vos données. En cas de doute, vous pouvez vous-même effectuer un test Heartbleed, sur vos propres sites web ou ceux sur lesquels vous avez pu effectuer des transactions.

A présent, il ne reste plus qu’à attendre que les sites affectés ne rectifient la faille en renouvelant leurs clefs de cryptage, ce qui demande du temps et de l’argent. Yahoo a par exemple déjà annoncé avoir sécurisé ses serveurs centraux et la seule précaution à prendre du côté des utilisateurs serait de changer les mots de passe utilisés sur le web d’ici quelques semaines, le temps que les sites touchés puissent se protéger de Heartbleed.

En bref, un coup dur pour l’image du petit cadenas qui, jusqu’ici, était synonyme de sécurité pour les transactions virtuelles.