Le SSL ou plus récement le TLS sont des protocoles de sécurité qui cryptent vos données bancaires. C’est l’écrou jaune en bas à droite de votre fenêtre Internet lorsque vous naviguez sur une page de paiement dans une boutique en ligne. La faille prend place sur les serveurs et non sur votre ordinateur, vous n’êtes donc pas directement menacé mais les serveurs de paiement en ligne, eux le sont.
Côté serveur, OpenSSL est un outil connu comme d’autres (GnuSSL, NSS, YaSSL) du protocole TLS et SSL, c’est le toolkit le plus courant mais le plus vulnérable.
Cette vulnérabilité, découverte par une équipe d’ingénieurs indépendants et Neel Mehta de Google Security, a notamment alerté les services Yahoo!, Tumblr qui appartient lui aussi à Yahoo! A l’heure ou je rédige cet article, les développeurs de Yahoo! ont déjà fixés le problème.
Qu’est-ce que Heartbleed ?
« Le bug Heartbleed est une faille sérieuse dans la bibliothèque logicielle de cryptographie OpenSSL. Cette faiblesse permet de dérober des informations protégées […] par le chiffrement SSL/TLS utilisé pour sécuriser l’Internet. Le SSL/TLS fournit une sécurité et une confidentialité des communications sur Internet pour des applications comme le web, le mail, la messagerie instantanée et le VPN« , explique un site dédié.
Celui-ci ajoute que « le bug Heartbleed permet à n’importe qui sur Internet de lire la mémoire des systèmes protégés par une version vulnérable du logiciel OpenSSL« . Selon l’avis de sécurité publié sur le site d’OpenSSL, jusqu’à 64 Ko de données sont récupérables sur un client ou un serveur.Ce qui permet de collecter des échantillons de données et d’y découvrir parfois au hasard des informations exploitables.
Par exemple, le bug Heartbleed « compromet les clés secrètes utilisées pour identifier les fournisseurs de service à chiffrer le trafic, les identifiants et les mots de passe des utilisateurs et le contenu concerné« , poursuit le site dédié. Si un attaquant parvient à obtenir ces informations, il peut par exemple se connecter à la place d’un autre utilisateur… ou les utiliser à la place de ce dernier.
Que faire ?
De votre coté, il suffit de vérifier grâce au site www.heartbleed.com si le site sur lequel vous voulez effectuer un achat est vulnérable à la faille Heartbleed ou non. Si c’est le cas je vous invite à passer votre chemin.
Le travail le plus important est coté administrateur système ou tous les serveurs qui accomplissent des achats cryptés par SSL/TLS doivent être mis à jour.