Heartbleed : la faille de sécurité la plus importante de la décennie
publié le 14 avril 2014 à 10h40.
Une erreur de programmation a affecté la sécurité d'une grande partie du web pendant 2 ans
Vous entendez beaucoup parler de Hearbleed depuis quelques jours, et vous recevez sans doute des emails de services web et mobile vous incitant à changer votre mot de passe. Alors Heartbleed, finalement, qu’est-ce que c’est ?
Et bien c’est une vulnérabilité qui a été découverte dans OpenSSL. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité et une atteinte à la confidentialité des données des utilisateurs qui sont conservées par de très nombreux sites web.
Cette faille n’est pas nouvelle, on estime qu’elle existe depuis mars 2012. Elle permet donc à un hacker de s’emparer des clés privées d’un serveur sécurisé et d’avoir accès à vos données hébergées par un service web qui utilise le système Open SSL.
Twitter, Facebook, Dropbox, Yahoo, Google étaient vulnérables à Heartbleed
Si elle existe depuis 2 ans, la faille vient seulement d’être découverte il y a quelques jours, et pour cette raison, Klout, Twitter, Facebook, Dropbox, Yahoo, Google, mais aussi environ 500 000 sites web et e-commerce dans le monde, pourraient être vulnérables à cette faille.
Sitôt découverte, celle-ci à été corrigée, et tous les services qui l’utilisent ont mis à jour les librairies Open SSL.
Comme Heartbleed ne laisse pas de trace, on ne sait pas avec certitude si la faille a été exploitée par des hackers. En revanche, il se murmure que les experts de la NSA auraient profité de Heartbleed pendant deux ans pour espionner leurs cibles. L’agence dément, mais si c’est vrai, ce ne serait pas la première fois que la NSA emploie des voies illégales pour accomplir sa mission de surveillance…
Par sécurité, n’hésitez pas à changer vos mots de passe sur l’ensemble des services web que vous utilisez.