Aucun nom de cible n’est donné dans le rapport : Hold Security évoque un accord de confidentialité, et la crainte des sites touchés, de l’être encore. Néanmoins, le New York Times, qui détaille l’affaire, explique avoir mandaté un expert en sécurité pour vérifier la véracité des informations, ayant estimé qu’elles étaient authentiques.

« Les pirates n’ont pas seulement ciblé les entreprises américaines. Ils ont attaqué tous les sites qu’ils pouvaient atteindre, allant du top 500 de Fortune aux très petits domaines » explique Alex Holden, le fondateur de Hold Security. « La plupart de ces sites sont encore vulnérables » ajoute-t-il. Selon lui, il n’y aurait aucun lien entre les hackers malveillants et le gouvernement russe : des sites russes font par ailleurs partie des cibles des pirates.

Les experts en sécurité suivent les activités des pirates depuis 2011 : le groupe serait constitué d’une douzaine de hackers russes d’une vingtaine d’années « qui se connaissent personnellement, pas seulement virtuellement ». Probablement localisés dans le sud de la Russie centrale, ils agiraient de manière très organisée : « Certains développent les programmes tandis que d’autres volent des données. C’est comme dans une petite entreprise, tout le monde essaie de gagner sa vie. » Après s’être concentrés sur une activité liée au spam, ils se seraient réorientés vers le vol de données intensifié début 2014, principalement en exploitant des réseaux de PC zombies (botnet) pour identifier les sites Web vulnérables et aller ensuite à la pêche aux identifiants à l’aide d’injections SQL.

Certains points restent actuellement flous, notamment concernant les botnets utilisés, et l’avenir des données volées. Selon les experts en sécurité, la plupart des identifiants dérobés n’ont pas encore été mis en vente par les pirates : un constat qui laisse un peu de répit aux internautes potentiellement concernés. Hold Security a mis en place une page permettant de vérifier si un internaute est touché par ce piratage de grande envergure, mais il faut se montrer patient, car la plateforme est saturée de demandes de vérification. En cas de vol d’identifiants avéré, il faut alors passer à l’étape consistant à changer ses mots de passe sur la Toile.

Côté serveur, OpenSSL est un outil connu comme d’autres (GnuSSL, NSS, YaSSL) du protocole TLS et SSL, c’est le toolkit le plus courant mais le plus vulnérable.

Cette vulnérabilité, découverte par une équipe d’ingénieurs indépendants et Neel Mehta de Google Security, a notamment alerté les services Yahoo!, Tumblr qui appartient lui aussi à Yahoo! A l’heure ou je rédige cet article, les développeurs de Yahoo! ont déjà fixés le problème.

Qu’est-ce que Heartbleed ?

« Le bug Heartbleed est une faille sérieuse dans la bibliothèque logicielle de cryptographie OpenSSL. Cette faiblesse permet de dérober des informations protégées [...] par le chiffrement SSL/TLS utilisé pour sécuriser l’Internet. Le SSL/TLS fournit une sécurité et une confidentialité des communications sur Internet pour des applications comme le web, le mail, la messagerie instantanée et le VPN« , explique un site dédié.

Celui-ci ajoute que « le bug Heartbleed permet à n’importe qui sur Internet de lire la mémoire des systèmes protégés par une version vulnérable du logiciel OpenSSL« . Selon l’avis de sécurité publié sur le site d’OpenSSL, jusqu’à 64 Ko de données sont récupérables sur un client ou un serveur.Ce qui permet de collecter des échantillons de données et d’y découvrir parfois au hasard des informations exploitables.

Par exemple, le bug Heartbleed « compromet les clés secrètes utilisées pour identifier les fournisseurs de service à chiffrer le trafic, les identifiants et les mots de passe des utilisateurs et le contenu concerné« , poursuit le site dédié. Si un attaquant parvient à obtenir ces informations, il peut par exemple se connecter à la place d’un autre utilisateur… ou les utiliser à la place de ce dernier.

Que faire ?

De votre coté, il suffit de vérifier grâce au site www.heartbleed.com si le site sur lequel vous voulez effectuer un achat est vulnérable à la faille Heartbleed ou non. Si c’est le cas je vous invite à passer votre chemin.

Le travail le plus important est coté administrateur système ou tous les serveurs qui accomplissent des achats cryptés par SSL/TLS doivent être mis à jour.

Chrome, Firefox, Safari et Internet Explorer n’auront finalement pas résisté aux attaques des hackers. Les spécialistes de la sécurité, réunis à l’occasion du concours Pwn2Own, ont découvert plusieurs failles. L’objectif est de renforcer toujours plus les dispositifs de protection des navigateurs pour l’utilisateur final.

Les experts français du cabinet de sécurité Vupen ont de nouveau fait parler d’eux. Ils ont réussi à passer outre le mode de sandboxing d’Internet Explorer de deux manières et notamment en exploitant le plugin Adobe Flash Player et en manipulant l’usage de la mémoire vive. Ils ont également réussi à faire exécuter du code au sein de Firefox et sont passés outre les mécanismes de sécurité de Google Chrome. Enfin ils ont révélé une faille au sein d’Adobe Reader. Au total Vupen a récolté 400 000 dollars et oui… il s’agit d’un record.

Internet Explorer 11 fut également hacké par les experts Sebastian Apelt et Andreas Schmidt, lesquels ont utilisé un bug du kernel permettant de lancer la calculatrice. Un troisième exploit a été démontré. Ce dernier fut réalisé en plus de 30 minutes, il n’est donc pas valide mais sera tout de même passé au crible par Microsoft.

Google a sponsorisé l’évènement Pwn4Fun au cours duquel le hacker Liang Chen a réussi à exécuter du code au sein de Safari 7 tandis que le célèbre Georges Hotz alias geohot a récolté 150 000 dollars pour un hack du HP Chromebook 11 et 50 000 dollars pour l’exécution de code au sein de Firefox.

Les correctifs de ces hacks devraient ainsi être déployés auprès des internautes dans les prochaines mises à jour des navigateurs par leurs éditeurs respectifs.

Pas moins de 800 000 données clients ont été dérobées le 16 Janvier 2014 à partir de l’espace personnel via le raccourci  « Mon Compte ».

Selon le porte parole d’ Orange, les données volées concernent les noms – prénoms – adresses postales et mails des clients mais aucun mot de passe.

Même si les mots de passe n’ont pas été hackés, cela offre quand même la possibilité aux voleurs de se constituer une belle base de données pour le Phishing par exemple ou encore du social engineering.

Les clients Orange piratés soit 3% du nombre total d’abonnés, ont été informés par email du vol de leurs données.

Même si Stéphane Richard se voulait rassurant lors de son précédent show en novembre en signant une charte sur les données personnelles protégées, il semblerait qu’il faille encore faire quelques ajustements.