“Heartbleed“: la faille qui affole les internautes
Une importante faille dans un logiciel de cryptage vient d'être découverte par des spécialistes informatiques. Le programme concerné : OpenSSL est utilisé par un grand nombre de sites internet pour protéger mots de passe, numéros de cartes bancaires et autres données personnelles. Si le problème a été identifié, les internautes sont fortement invités à prendre des précautions.
“Heartbleed“ c'est quoi ? "Heartbleed" ("coeur qui saigne", ndlr) est le nom de la faille qui a affecté le logiciel OpenSSL. Elle aurait été découverte par une équipe de Google Security et de l'entreprise Codenomicon. Elle a été baptisée ainsi car elle touche une extension du logiciel, appelée "heartbeat" ("battements de coeur, ndlr). Les employés d'OpenSSL n'ont d'ailleurs pas tardé à créer un logo représentant cette faille.
Le logo de la faille “Heartbleed“
Doit-on s'inquiéter ? Oui, car des pirates peuvent récupérer des informations en passant par la mémoire des serveurs de l'ordinateur, d'après les spécialistes de la société de sécurité informatique Fox-IT. Parmi les informations susceptibles d'être récupérées: codes, mots de passe, clés utilisées pour déverrouiller des données cryptées ou imiter un site. Des chercheurs ont fait des tests pour confirmer la vulnérabilité de la faille. Ils ont été capables de récupérer des informations de mots de passe de Yahoo!. Des centaines de millions d'internautes sont concernés. Et deux serveurs sur trois dans le monde, dont ceux utilisés par les banques et les systèmes de paiement en ligne, seraient touchés.
Que faire ? En attendant que les mises à jours soient correctement effectuées, les spécialistes de l'informatique conseillent de ne pas utiliser internet pour tout ce qui concerne les achats et les transactions. Il est fortement conseillé de changer de mot de passe sur tous les sites conservant des données personnelles. Le nombre d'attaques que les pirates peuvent effectuer est sans limite. Le site Tor Project qui milite pour l'anonymat en ligne conseille aux internautes d'éviter d'utiliser internet pendant quelques jours. Le temps pour les sites et les serveurs d'améliorer leur sécurité. L'Agence du Revenu du Canada (ARC) a directement pris des mesures d'urgence. Elle a désactivé le volet de son site internet permettant aux clients d'accéder à leurs dossiers fiscaux. "Par mesure de précaution, l'ARC a temporairement suspendu tout accès public à ses services afin de protéger l'intégrité des renseignements que nous détenons" a déclaré l'agence. Le site Mashable propose une liste des sites concernés et leurs conseils aux utilisateurs. En voici quelques uns: - Facebook : "Nous avons protégé notre protocole OpenSSL avant que le problème ne soit rendu public. Nous n'avons pas détecté d'activités suspectes sur des comptes Facebook liées à ce bug. Néanmoins, nous encourageons les utilisateurs de profiter de ce moment pour mettre en place un nouveau mot de passe unique pour Facebook." - Instagram : "Nos équipes de sécurité ont travaillé rapidement pour réparer le problème, et nous n'avons pas trouvé de preuves comme quoi un compte utilisateur avait été affecté. Mais, puisque cet événément a un impact sur de nombreux services, nous recommandons que vous changiez votre mot de passe sur Instagram, particulièrement si vous utilisez le même sur d'autres sites." - Yahoo! : "Dès quenous avons pris consciencedela question, nous avons commencé à réparer le site. En ce moment, nous réparons le restede nos services." - Twitter : "Nous avons étéen mesure de direque nos serveursn'ont pas été affectés. Nous continuonsà surveiller la situation." - Google : "Nous avons évalué la vulnérabilité d'OpenSSL et avons décidé d'appliquer un patch de sécurité aux services-clés de Google, comme la recherche, Gmail, YouTube, Wallet, Play, Apps, et App Engine."
Cet important problème remet en cause la fiabilité d'internet. A chaque nouveau bug informatique, les pirates profitent de la situation et cela peut avoir de lourdes conséquences pour les internautes: usurpation d'identité, vol d'importantes sommes d'argent, piratage d'informations personnelles… D'où la nécessité de renouveler certaines données personnelles comme les mots de passe pour éviter les mauvaises surprises.