Faille Heartbleed: les piratages dévoilés sur la toile

Faille Heartbleed: les piratages dévoilés sur la toile

Tous les acteurs d’Internet, experts en sécurité, développeurs, blogueurs, consommateurs et internautes sont inquiets. Une faille de sécurité critique a été découverte sur Internet dans la nuit du 7 au 8 avril 2014. Son nom: Heartbleed.

Publié le 9 avril 2014 - 13:49 par François Giraud

Heartbleed est le nom d’une faille de sécurité critique qui serait présente dans la quasi-totalité des connexions web chiffrées. Cette faille serait due à une défaillance du protocole OpenSSL qui permet d’accéder aux transactions cryptées utilisées par de nombreux services dont les banques en ligne, les chat, les messageries, les VPN y compris le réseau Tor.

66% des serveurs Web pourraient être touchés

Des experts en sécurité informatique ont dévoilé cette faille présente dans OpenSSL, utilisé par 66% des serveurs Web. OpenSSL permet de chiffrer des données qui transitent entre les utilisateurs et les serveurs. De nombreux sites Internet utilisent le logiciel d’encodage OpenSSL, qui permet entre autres de protéger des mots de passe. Les pirates qui arrivent à entrer dans OpenSSL peuvent avoir accès aux informations qui sont échangées entre les utilisateurs et les serveurs. Des experts en sécurité dont Neel Mehta, ingénieur de Google Security ou encore des ingénieurs de la société Codenomicon ont découvert une faille de sécurité et quelques développeurs indiquent qu’ils peuvent récupérer de nombreuses informations comme des mots de passe Yahoo!

Une faille qui daterait de 2012

Cette faille serait présente depuis plus de deux ans. Des pirates ont donc pu récupérer de nombreuses informations confidentielles sur divers sites. Yahoo! serait le seul grand groupe touché par cette faille. Etant donné que cette faille est désormais identifiée, les mots de passe et codes des serveurs ont été mis à jour très rapidement. Yahoo! a sécurisé toutes ses infrastructures dont ses serveurs. Tous les sites qui pensent avoir connu ce bug exceptionnel doivent également renouveler leurs clefs. La version d’OpenSSL qui est concernée est la 1.0.1. une mise à jour baptisée 1.0.1g a été mise à disposition des administrateurs systèmes. Il faut aussi changer l’ensemble des certificats de chiffrement SSL. Microsoft, Google, Apple et Facebook ne seraient pas affectés par cette faille. Interrogée par Bloomberg ce vendredi, la NSA indique ne pas avoir profité du bug qui a touché Internet et qu’elle n’avait pas connaissance de cette faille de sécurité critique. Les routeurs seraient également infectés. Cisco Systems et Juniper Networks ont découvert la faille dans leurs routeurs.

Advertisements

Ailleurs sur le web





  • CYRIAQU3

    Cette faille n’a pas été découverte dans la nuit du 7 au 8 , elle a été révélée : c’est sensiblement différent non ?