Secu
Une faille critique sur OpenSSL affole le web
Par La rédaction, publié le 10 avril 2014
Des spécialistes informatiques viennent de dévoiler l’existence d’une faille informatique d’une ampleur inquiétante. Baptisée « Heartbleed » (ou « cœur qui saigne », en français), elle affecte OpenSSL (version 1.0.1 et bêta de la 1.0.2), l’une des bibliothèques de chiffrement les plus utilisées sur le web. Elle a pu permettre aux pirates informatiques de dérober de nombreuses données d’utilisateurs, mais aussi des clés de chiffrement permettant de sécuriser les sites eux-mêmes.
Ces certificats, prépondérants en matière de sécurisation des données par TLS/SSL, pourraient de fait être tombés entre de mauvaises mains, d’autant que « Heartbleed » aurait été potentiellement utilisable pendant près de deux ans, rapporte le site Internet de la société de cybersécurité Fox-IT.
Un demi-million de sites potentiellement touchés
Le facteur le plus inquiétant reste que ces révélations sont intervenues avant même que des correctifs n’aient pu être appliqués par la majeure partie des entreprises, dont les plateformes sont potentiellement vulnérables. Des milliers de sites Internet ont ainsi pu faire l’objet d’attaques récentes, via cette porte d’accès.
Le spécialiste de la sécurité Cloudfare a notamment été pointé du doigt par plusieurs éditeurs pour avoir diffusé les détails de la faille dans un billet de blog, avant que des solutions ne soient apportées.
Selon le spécialiste britannique Netcraft, 17,5 % des sites utilisant OpenSSL – au nombre d’environ 500 000 – seraient potentiellement vulnérables.
Les géants du web vraisemblablement préservés
Un correctif pour la version 1.0.1, la plus largement déployée sur le web, a depuis été publié (1.0.1g) et son équivalent pour la bêta de la version 1.0.2 devrait être disponible prochainement.
« Heartbleed », qui serait en fait la conséquence d’une erreur de programmation, aurait épargné les ténors du web que sont Google, Facebook, Twitter, Dropbox ou Amazon, même si de nombreux sites recommandent tout de même d’y changer ses mots de passe.
L’exposition de Yahoo, en revanche, a été avérée. Fox-IT rapporte, dans un billet de blog, qu’elle est parvenue à dérober un nom d’utilisateur et un mot de passe sur le célèbre site de messagerie électronique.
La plupart des géants de l’IT planchent eux aussi sur leurs propres correctifs. C’est notamment le cas de Red Hat, Oracle ou Debian.