Heartbleed : la faille OpenSSL qui secoue Internet

Une véritable panique est en train de secouer Internet à cause du protocole de chiffrement SSL/TLS, et plus particulièrement son implémentation Open source OpenSSL. Une faille de sécurité vient en effet d’être découverte par Neel Mehta (Google) au sein de cette bibliothèque. En pratique, toutes les versions depuis OpenSSL 1.0.1 sont concernées, ce qui indique au passage que cette faille existe depuis… décembre 2011 !

Le protocole SSL/TLS est principalement utilisé pour sécurisé les échanges de données confidentielles (mot de passe, numéro de carte bancaire, …) entre un serveur (ou un site Internet) et un client. Le problème se situe au niveau d’un des modules (Heartbeat) destiné à vérifier que la connexion avec un serveur est toujours active. Problème : en jouant avec les bons paramètres, il est possible de récupérer une petite quantité de données (jusqu’à 64 Ko) stockées en mémoire au niveau du serveur, et donc – par exemple – les clés privées et secondaires SSL.

Cette faille est d’autant plus importante qu’OpenSSL est utilisé par la majorité des sites Internet. Une mise à jour de cette bibliothèque corrigeant ce bug est d’ores et déjà disponible (OpenSSL 1.0.1g) et commence à être proposée par certaines distributions Linux. Mais le simple fait de mettre à jour OpenSSL pourrait ne pas suffire : les clés privées et secondaires des certificats étant comprises, il faut régénérer ces derniers. Impossible par ailleurs de vérifier si un site a d’ores et déjà « lâché » des informations sensibles via cette faille.

La prudence est donc de mise, et de nombreux sites ayant mis à jour OpenSSL sur leur serveur recommandent à leurs utilisateurs de changer leurs mot de passe (comme Valve) ou de renouveler leurs certificats (chez Amazon par exemple). D’autres sites Internet (celui de Minecraft par exemple) ont même été temporairement fermés, le temps de faire les mises à jour nécessaires. Vous pouvez vous-même vérifier si un site est touché par cette faille en rentrant l’url ici.

En attendant que la situation soit éclaircie, nous vous recommandons d’être particulièrement vigilant : SSL/TLS est utilisé par les boutiques de vente en ligne, les webmails, les banques, les réseaux sociaux et plus généralement par la très grande majorité des sites Internet. Il faut donc considérer que les mots de passe que vous utilisez ne sont à l’heure actuelle plus surs, surtout si vous faites partie de ceux qui utilisent le même mot de passe partout...

Posez une question dans la catégorie Les news : vos réactions du forum
Cette page n'accepte plus de commentaires
6 commentaires
Commenter depuis le forum
    Votre commentaire
  • Wiiip
    Comme toujours en matière de sécurité, on se focalise uniquement sur le risque maximal, et pas la probabilité que cela survienne.
    En clair : est-ce que la faille est facilement exploitable ? Parce que si il faut une série de circonstance et les moyens de la NSA pour réussir à décrypter un mot de passe d'un seul client, cela ne vaut pas la peine qu'on se fatigue à tous changer tous nos MdP....
  • Yannick G
    Anonymous a dit :
    Comme toujours en matière de sécurité, on se focalise uniquement sur le risque maximal, et pas la probabilité que cela survienne.
    En clair : est-ce que la faille est facilement exploitable ? Parce que si il faut une série de circonstance et les moyens de la NSA pour réussir à décrypter un mot de passe d'un seul client, cela ne vaut pas la peine qu'on se fatigue à tous changer tous nos MdP....


    A priori, ça ne demande pas les moyens de la NSA :lol:
  • zeb
    Citation:
    clés privées et secondaires des certificats étant compromises