Alors que le monde avait les yeux tournes vers Windows XP, l’apocalypse a bien failli venir de la technologie beaucoup moins connue du grand public: OpenSSL, votre protocole largement utilise online Afin de crypter le trafic Web. Mais si le pire a ete evite, la prudence demeure de mise.
OpenSSL, c’est quoi?
Vous voyez votre petit cadenas, accompagne de «https», a gauche d’une adresse Web, comme concernant Yahoo.fr? Cela signifie que le trafic echange entre votre PC et le serveur reste crypte, en particulier Afin de couvrir des informations confidentielles comme un mot de passe ou un numero de carte bancaire. OpenSSL est une technologie open source utilisee avec de nombreux sites Afin de implementer les deux protocoles de cryptage des plus communs, SSL et TLS.
Qu’est-ce qui saigne?
Notre bug a ete baptise «heartbleed» (c?ur qui saigne) https://besthookupwebsites.org/fr/rencontres-cougar/ via ceux qui l’ont decouvert, des chercheurs finlandais de Codenomicon et une equipe de Google Security. Il s’agit d’un defaut de conception qui permet a un individu tierce de recuperer des precisions. A sa base, la requete «heartbeat» verifie que J’ai connexion avec un serveur sera alors active, comme une sorte de «ping». Mais en ajoutant des parametres, i la place de repondre un simple «pong», le serveur crache des informations stockees dans sa memoire vive: login, mot de passe, numero de carte bleue etc. Pire, les cles de cryptage utilisees par la page ont la possibilite de meme etre obtenues. Selon l’expert Bruce Schneier, la faille est «catastrophique».
Combien de blogs paraissent concernes?
Beaucoup. Par rapport aux experts, plus de deux tiers des serveurs Web utilisent OpenSSL, principalement ceux sous Apache ou Nginx. J’ai faille ne concerne cependant qu’une version recente, de 2011. Selon Netcraft, au moins un demi-million de sites paraissent touches. Il parai®t que Google, Facebook, Microsoft, Twitter, Amazon ou Dropbox n’aient pas ete concernes (ou qu’ils aient bouche la faille avant l’annonce publique). Les sites de Yahoo, Imgur, OkCupid, KickAss Torrent et du FBI, en revanche, etaient vulnerables.
Le probleme corrige, la mise a jour en cours de deploiement
Les chercheurs ont travaille avec OpenSSL, ainsi, un patch a ete deploye lundi apri?m. Les administrateurs Web doivent mettre a jour un serveur a la derniere version (OpenSSL 1.0.1g). Certains geants du Net, comme les aiguilleurs de trafic Akamai et CloudFlare, ont i priori ete prevenus en avance et l’ont deja fait. D’autres, comme Yahoo, l’ont decouvert mardi matin et ont update leurs systemes en urgence.
Potentiellement, 1 probleme de long terme
Depuis 2 problemes. D’abord, on ne sait nullement si la faille fut exploitee avant qu’elle ne soit rendue publique. Surtout, un blog n’a aucun moyen de savoir si ses serveurs ont «saigne» des precisions par le passe. Selon l’expert en securite Michael Kreps, si des hackers ont reussi a derober des cles de cryptage, ils pourront les se servir de apri?s. Pour proteger ses utilisateurs, un site devra deposer de nouvelles cles et renouveler son certificat de securite, et cela coute souvent de l’argent.
Que faire pour l’utilisateur?
Pas grand chose. Le reseau TOR, qui permet de surfer anonymement, conseille a ses utilisateurs «de ne pas se servir de Internet pendant certains jours», moyen que le patch soit applique partout. Cet outil permet de tester si un blog est vulnerable, mais il ne roule gui?re pour tous. En cas de resultat positif, il ne va falloir surtout pas rentrer ses renseignements de connexion. Il semble enfin probable que au sein des prochains temps, des geants comme Yahoo conseillent de reinitialiser le mot de passe. Selon Quelques experts, mieux vaut patienter 48h, Dans l’optique de ne point rentrer 1 nouveau mot de marche sur un blog i nouveau non patche.
