Planète Révélations
Bienvenu sur Planète Révélations, bonne visite à vous...
Planète Révélations
Bienvenu sur Planète Révélations, bonne visite à vous...
Planète Révélations
Vous souhaitez réagir à ce message ? Créez un compte en quelques clics ou connectez-vous pour continuer.

Planète Révélations


 
AccueilRechercherDernières imagesS'enregistrerConnexion
Le Deal du moment : -67%
Carte Fnac+ à 4,99€ au lieu de 14,99€ ...
Voir le deal
4.99 €

Partagez
 

 Que sait-on de « Heartbleed », l'inquiétante faille de sécurité sur Internet ?

Voir le sujet précédent Voir le sujet suivant Aller en bas 
AuteurMessage
OSIRIS

OSIRIS

Masculin Capricorne Chien
Messages : 4965
Date d'inscription : 12/10/2012
Age : 53

Que sait-on de « Heartbleed », l'inquiétante faille de sécurité sur Internet ? Empty
MessageSujet: Que sait-on de « Heartbleed », l'inquiétante faille de sécurité sur Internet ?   Que sait-on de « Heartbleed », l'inquiétante faille de sécurité sur Internet ? I_icon_minitimeJeu 10 Avr 2014 - 17:32



Que sait-on de « Heartbleed », l'inquiétante faille de sécurité sur Internet ? 4397996_3_1467_une-faille-presente-depuis-deux-ans-environ_22101825876cd890080a0b0683b8afb9

Une importante faille de sécurité a été découverte, mardi 8 avril, dans un dispositif de protection des données échangées sur Internet utilisé par un nombre très important de sites et de services dans le monde. Elle permet, dans certaines conditions, de récupérer codes et mots de passe.
Où se situe cette faille ?
La faille, découverte au sein du logiciel OpenSSL, a été baptisée « Heartbleed » (« cœur qui saigne ») en référence au mode de fonctionnement du logiciel. Ce dernier est chargé de mettre en œuvre un moyen de protection utilisé quotidiennement par des centaines de millions d'internautes, les protocoles TLS/SSL.

Ces derniers, malgré leur appelation obscure, sont fondamentaux. Ils permettent à votre navigateur Internet d'authentifier la page sur laquelle vous vous connectez, mais surtout de camoufler mots de passe, codes de cartes bancaires et plus généralement toutes les données que vous échangez avec ce site. C'est cette technologie qui est symbolisée par l'affichage de la fameuse icône en forme de cadenas dans la barre de navigation. Outre les sites Web, cette technologie est également utilisée par de nombreux services sur Internet (messageries, applications...).

OpenSSL, installé sur le serveur du site auquel l'internaute se connecte, est un logiciel chargé de mettre en œuvre cette protection. Il s'agit d'un des outils favoris des sites Web : selon le site américain The Verge, deux serveurs sur trois pourraient être concernés. Si la faille ne touche pas toutes les versions du logiciel, elle est vieille d'environ deux ans.

Est-ce que c'est grave ?
Oui. Cette faille permet à d'éventuels pirates de récupérer des informations stockées sur la mémoire des serveurs du site vulnérable. Des informations personnelles censées être inaccessibles et protégées : plusieurs experts sont aisément parvenus à retrouver des mots de passe d'utilisateurs de sites vulnérables.

« Le nombre d'attaques qu'ils peuvent effectuer est sans limite », indique Fox-IT, entreprise spécialisée dans la sécurité informatique. Mais s'il s'agit d'une faille majeure, ses contours précis et sa portée réelle sont encore flous.

Enfin, il est envisageable que les certificats, sorte de clé de voûte de la sécurisation des données par TLS/SSL, censés être privés et très protégés, aient été rendus accessibles par la faille. Ce qui signifie que même lorsque la faille d'OpenSSL sera corrigée et la nouvelle version appliquée aux sites vulnérables, des assaillants qui ont préalablement intercepté la clé nécessaire au déchiffrement des données protégées seront encore en mesure d'y accéder.

« Ce sont les joyaux de la couronne, les clés de chiffrement elles-mêmes », souligne le site Heartbleed.com. Ces clés « permettent aux pirates de déchiffrer tous les trafics, passés et à venir, vers les services protégés et d'imiter ces services ».

Il est également possible que les « cookies », ces fichiers qui stockent vos identifiants sur un site afin de vous identifier, soient également accessibles, ce qui permet potentiellement à un assaillant de se connecter en votre nom au site en question.

Adam Langley, un informaticien de Google qui a participé à la correction de la faille, est cependant plus mesuré, et explique n'avoir pu accéder lors de ses tests qu'à des informations très parcellaires.

When testing the OpenSSL heartbeat fix I never got key material from servers, only old connection buffers. (That includes cookies though.)

— Adam Langley (@agl__)
Quels sites sont touchés ?
OpenSSL étant utilisé par un très grand nombre de sites et de services, la faille est très répandue. Cette faille, très importante, a mobilisé d'importantes ressources au sein des grandes entreprises, et nombre d'entre elles ont déployé des correctifs assez rapidement. Des « géants » de l'Internet, seul Yahoo! a été semble-t-il concerné (la faille y a été, depuis, corrigée).

Apple, Google, Microsoft et la majorité des sites d'e-commerce et bancaires ne le sont pas – il existe plusieurs manières d'implémenter OpenSSL, ainsi que des systèmes alternatifs, et toutes les versions ne sont pas touchées.

Selon le site Mashable, « Facebook et Twitter utilisent OpenSSL sur certains de leurs serveurs mais il n'est pas encore établi s'ils sont vulnérables ou pas ». « Facebook a effectué une mise à jour de sécurité, tout comme Google », précise le site. Le réseau social ainsi que Yahoo! ont recommandé à leurs utilisateurs de changer leurs mots de passe, écrit le Washington Post.

Mais de plus petits sites, traitant des données confidentielles, peuvent mettre davantage de temps à être protégés. Par ailleurs, il faut noter que certains sites, pourtant vulnérables, ne traitent pas d'informations sensibles.

Que sait-on de « Heartbleed », l'inquiétante faille de sécurité sur Internet ? 4397997_5_eed5_le-site-filippo-io-heartbleed-permet-de-tester_101d4a8aeed39f52421a2680a9d2e16e

Que faire ?
Dans un monde idéal, il faudrait éviter les activités sensibles (courriels, banque, achats...) sur Internet pendant quelques temps. C'est ce que recommande par exemple un billet publié sur le site de Tor, un système d'anonymisation sur Internet.

Dans un premier temps, pour les utilisateurs lambda, changer de mot de passe est inutile, et peut même être contre-productif. En effet, si la faille d'OpenSSL n'est pas corrigée sur le site, le nouveau mot de passe pourra être visible à son tour. Il faut donc, avant tout, attendre que les responsables des sites vulnérables mettent à jour leurs dispositifs de sécurité. Puis, pour l'utilisateur, relancer le site ou le service pour que ces nouvelles protections s'appliquent.

Il est conseillé de surveiller, dans les prochains jours, les annonces des sites que vous utilisez afin de s'assurer qu'ils prennent les mesures nécessaires. En cas de doute, le site Filippo.io/Heartbleed permet de tester si un site est vulnérable ou non. Une liste (non exhaustive) est disponible ici. En revanche, certaines mesures nécessaires ne sont pas détectées par ce site, comme le renouvellements des certificats ou des mots de passe des administrateurs.

Enfin, soyez particulièrement vigilants quant aux courriels que vous recevrez dans les prochains jours. Certains adeptes du phishing (vous faire croire que vous allez sur le site de votre banque, par exemple, alors qu'il s'agit d'un site pirate), pourrait utiliser certaines des données interceptées pour vous cibler.

http://www.lemonde.fr/technologies/article/2014/04/09/une-enorme-faille-de-securite-dans-de-nombreux-sites-internet_4397995_651865.html
Revenir en haut Aller en bas
L'auteur de ce message est actuellement banni du forum - Voir le message
 

Que sait-on de « Heartbleed », l'inquiétante faille de sécurité sur Internet ?

Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 1 sur 1

 Sujets similaires

-
» Intel - Une backdoor et une faille de sécurité majeure !
» Une nouvelle faille de sécurité découverte dans les cartes bancaires sans contact
» Qui sait ce qui se passe dans la Russie ?
» (Fema) Exercice de simulation d'un séisme dans la zone de la faille de New Madrid en février
» Exercice de la Fema en avril 2011 pour le "Bigger One"

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Planète Révélations :: Informations Mondiales :: Actualités (Autres)-