Alors que un chacun avait le regard tournes vers Windows XP, l’apocalypse a bien failli venir d’une technologie bien moins connue du grand public: OpenSSL, 1 protocole largement utilise online Afin de crypter le trafic Web. Mais si le pire fut evite, la prudence reste de mise.
OpenSSL, c’est quoi?
Vous voyez ce petit cadenas, accompagne de «https», a gauche de la adresse Web, pourquoi pas concernant Yahoo.fr? Ca signifie que le trafic echange entre votre PC et le serveur reste crypte, principalement pour proteger des informations confidentielles comme un mot de passe ou un numero de carte bancaire. OpenSSL reste une technologie open source utilisee avec quantite de sites pour implementer les deux protocoles de cryptage les plus communs, SSL et TLS.
Qu’est-ce qui saigne?
Notre bug fut baptise «heartbleed» (c?ur qui saigne) via ceux qui l’ont decouvert, des chercheurs finlandais de Codenomicon et une equipe de Google Security. Cela s’agit tout d’un defaut de conception qui permet a une personne tierce de denicher des informations. A votre base, la requete «heartbeat» verifie que la connexion avec 1 serveur est encore active, comme une sorte de «ping». Mais en ajoutant des parametres, au lieu de repondre un simple «pong», le serveur crache des precisions stockees dans sa memoire vive: login, mot de passe, numero de carte bleue etc. Pire, les cles de cryptage utilisees par le site vont pouvoir meme etre obtenues. Selon l’expert Bruce Schneier, la faille reste «catastrophique».
Combien de sites paraissent concernes?
Beaucoup. Selon les experts, plus de deux tiers des serveurs Web utilisent OpenSSL, en particulier ceux sous Apache ou Nginx. La faille ne concerne malgre tout qu’une version recente, de 2011. Selon Netcraft, au moins un demi-million de blogs sont touches. Cela semble que Google, Facebook, Microsoft, Twitter, Amazon ou Dropbox n’aient pas ete concernes (ou qu’ils aient bouche la faille avant l’annonce publique). Mes sites de Yahoo, Imgur, OkCupid, KickAss Torrent et du FBI , en revanche, etaient vulnerables.
Le souci corrige, la mise a jour en cours de deploiement
Les chercheurs ont travaille avec OpenSSL, et un patch a ete deploye lundi jour. Mes administrateurs Web doivent mettre a jour un serveur a la derniere version (OpenSSL 1.0.1g). Certains geants du Net, comme les aiguilleurs de trafic Akamai et CloudFlare, ont i priori ete prevenus en avance et l’ont deja fera. D’autres, comme Yahoo, l’ont decouvert mardi matin et ont update leurs systemes en urgence.
Potentiellement, 1 probleme de long terme
Il existe deux problemes. D’abord, on ne sait gui?re si la faille a ete exploitee avant qu’elle ne soit rendue publique. Surtout, un site n’a aucun moyen de savoir si ses serveurs ont «saigne» des precisions par le passe. Selon l’expert en marketing Michael Kreps, si des hackers ont reussi a derober des cles de cryptage, ils pourront nos utiliser apri?s. Pour couvrir ses utilisateurs, un site devra deposer de nouvelles cles et renouveler le certificat de securite, ce qui coute souvent de l’argent.
Que Realiser pour l’utilisateur?
Pas grand chose. Le reseau TOR, qui permet de surfer anonymement, conseille a ses utilisateurs «de ne point se servir de Internet pendant deux jours», le temps que le patch soit applique partout. Cet outil permettra d’essayer si un blog reste vulnerable, mais il ne roule nullement pour l’ensemble de. En cas de resultat positif, il ne faudrait surtout jamais rentrer ses renseignements de connexion. Il semble enfin probable que au sein des prochains temps, des geants comme Yahoo conseillent de reinitialiser le mot de passe. Selon Quelques experts, plus coi»te tarder 48h, De sorte i ne pas rentrer votre nouveau commentaire de marche sur un site encore non patche.