« Heartbleed » : une faille de sécurité critique affecte de nombreux sites web
Hier, une vulnérabilité critique affectant OpenSSL et ainsi la sécurité de bien des sites web a été détectée. Un correctif est disponible.
Révélée via un site web hier par des chercheurs en sécurité, The Heartbleed Bug (le bug du cœur qui saigne) est une faille de sécurité critique affectant la bibliothèque de chiffrement OpenSSL. Installé sur les serveurs de très nombreux sites web, services de messagerie ou encore VPN, ce protocole SSL/TLS permet en temps normal de sécuriser les informations sensibles et privées comme les mots de passes, discussions et numéros de cartes bancaires.
Visiblement existante depuis décembre 2011 et empirée depuis mars 2012 avec la mise à jour OpenSSL 1.0.1, cette faille peut permettre à des pirates de récupérer la clé de chiffrement utilisée pour crypter les données et ainsi les lire sans problème et sans laisser de trace. D’après une étude de Netcraft, 66% des sites web utilisent OpenSSL et sont donc potentiellement affectés par cette faille.
Un correctif est déjà disponible
Heureusement, un correctif (1.0.1g) pour la version 1.0.1 (jusqu’à la version 1.0.1f) est déjà disponible et un site permet de vérifier que son site web n’est plus en danger. La version 1.0.2 bêta est également affectée et pas encore corrigée, tandis que les moutures précédentes ne sont pas touchées.
De larges services comme Facebook, Twitter, Yahoo!, Amazon ou encore Dropbox semblent avoir déjà effectué la mise à jour. Cependant, dévoiler cette faille alors que la plupart des sites étaient encore exposés (et le sont encore) n’était pas nécessairement la meilleure tactique à adopter.
En attendant une réaction et une potentielle action de ces grosses entreprises concernant les éventuelles données interceptées depuis 2 ans, veillez donc à être prudent dans les heures/jours à venir lorsque vous taperez un mot de passe ou un numéro de carte bleu : le cadenas à côté de la barre d’adresse de votre navigateur n’est pas nécessairement révélateur.