Le « heartbleed », est un bug informatique dont il faut espérer entendre parler le moins possible. Découvert récemment et contrôlé lundi dernier grâce à un patch, cette possible porte ouverte à toutes les données les plus confidentielles (mots de passe, données bancaires, document stratégique, …) peut potentiellement faire des dégâts importants.
En quoi ce bug informatique peut-il rendre vulnérable votre système informatique ? Valoxy, cabinet d’expertise comptable dans les Hauts-de-France, donne ses explications.
De quoi s’agit-il ?
Heartbleed est le nom donné à un bug informatique découvert de manière conjointe par une équipe de chercheurs finlandais et par Google. Il met à mal la sécurité du protocole de sécurisation de site « Open SSL ». Cette faille permettrait à un internaute quelconque de contourner la sécurité d’un serveur sans laisser de carte de visite ou même de trace, et ce depuis 2011 !
Quand l’adresse d’un site Web est accompagnée d’un petit cadenas et du sigle « https » cela signifie que les données (mots de passe, numéro de carte bancaire…) qui circulent entre votre ordinateur et le serveur du site sont cryptées. Open SSL est un procédé dit « open source » qui implémente les deux protocoles de cryptage les plus courants.
Le bug Heartbleed, révèle en clair et sans le moindre cryptage le contenu de message « sécurisé » comme les identifiants et mots de passe, les transactions faites par cartes de crédit, …. Techniquement, lorsqu’une demande de présence était faite auprès du serveur par un hacker, au lieu de se contenter de répondre « oui », le serveur donnait accès aux dernières informations sauvegardées dans la mémoire vive (mémoire temporaire) qui ne sont pas cryptées. Ainsi, au milieu de données sans intérêt, on pouvait retrouver les numéros de compte, les identifiants et mots de passe, …
Un correctif a été mis au point et a été publié le 7/04/2014, et il est disponible pour la version 1.0.1g d’Open SSL. Netcraft, une entreprise britannique de technologies internet, estime que 17,5% des sites travaillant en protocole SSL sont potentiellement en danger, soit environ 500 000.
Comment se protéger ?
La protection contre Heartbleed comporte plusieurs démarches :
Tout d’abord, les administrateurs Web doivent mettre leur système à jour, obtenir une nouvelle clé de cryptage et refaire valider leur certificat de sécurité. Certains acteurs comme Google ont réagi très vite. Cela leur permet d’assurer à leurs utilisateurs qu’ils n’ont pas besoin de changer leur mot de passe. Ces démarches sont indispensables afin de se protéger contre de vieilles clés qui pourraient être compromises.
La menace est-elle réellement sérieuse ?
Certains experts en cryptologie n’hésitent pas à dire qu’Heartbleed est catastrophique. En effet, on ne peut pas savoir si la menace a été exploitée pendant les 3 années de sa présence. En effet, on n’a pas d’idée précise de la menace car les attaques ne laissent pas de trace. Il est donc capital de lancer un audit précis sur le système « Open SSL ». Cela permettra de garantir à nouveau la qualité de cet élément critique de la sécurisation du Web.
Vous souhaitez en savoir plus sur les dangers en ligne et les virus informatiques ? Retrouvez nos articles sur le blog de Valoxy :