3 min de lecture Internet

"Heartbleed" : comprendre la faille de sécurité sur internet en 4 points

DÉCRYPTAGE - Une importante faille de sécurité affectant plus de la moitié des sites internet a été découverte. Le problème a été corrigé mais la mise à jour doit encore être déployée sur les sites concernés.

Heartbleed, une importante faille de sécurité affectant les protocoles utilisés pour crypter le trafic internet, a été mis au jour dans la nuit du 7 au 8 avril 2014
Heartbleed, une importante faille de sécurité affectant les protocoles utilisés pour crypter le trafic internet, a été mis au jour dans la nuit du 7 au 8 avril 2014 Crédit : AFP
BenjaminHuepro
Benjamin Hue
Journaliste RTL

Depuis près de 48 heures, l'affaire affole les spécialistes du Web. Une importante faille de sécurité a été mise au jour dans la nuit du 7 au 8 avril. 

Baptisée "Heartbleed" ("cœur qui saigne"), elle affecte les protocoles utilisés pour crypter le trafic Internet, utilisés par de nombreux sites internet pour garantir la confidentialité des informations renseignées par les internautes. Elle permettrait aux pirates de récupérer ces données en passant en revue la mémoire des serveurs de l'ordinateur.

1 - Quelle est cette faille ?

La faille touche le logiciel de cryptage en libre accès Open SSL. Une technologie qui permet de sécuriser des données confidentielles en les chiffrant. Lorsque vous naviguez sur un site qui utilise Open SSL, un petit cadenas apparaît à gauche de l'url "https" dans la barre d'adresse du site web, signifiant que le trafic échangé entre votre ordinateur et le serveur est crypté

À lire aussi
Le YouTubeur et comédien Norman Thavaud environnement
"On est prêt" : quand des Youtubeurs lancent des défis écologiques à leurs abonnés

Problème : en l'absence de vérification d'une mise à jour du logiciel, des pirates ont pu accéder aux serveurs protégés et aux données qu'ils contiennent, notamment les clés de chiffrement permettant de sécuriser les sites.

2 - Combien de sites sont concernés ?

Le logiciel est utilisé par plus des deux tiers des sites web. Mais la faille n'existe pas sur toutes les versions. Elle existerait depuis le mois de décembre 2011 et aurait été accrue par la mise à jour d'Open SSL en mars 2012. Si Amazon, Facebook, Google, Microsoft, Twitter et la plupart des géants du web ont été épargnés - à moins qu'ils n'aient corrigé la faille avant son annonce publique -, il n'en va pas de même pour Yahoo!, Torrent, le site du FBI ou Imgur, qui ont été reconnus vulnérables

Au total, plus de 500.000 sites seraient concernés selon le site spécialisé Netcraft. De nombreux sites stockant des identifiants bitcoins sont également affectés, indique le site Blogmotion.

3 - Que risque-t-on avec cette faille ?

Il est encore difficile d'affirmer dans quelle mesure cette faille peut être dommageable pour les internautes. Seule certitude, le petit cadenas accolé à l'url des sites sécurisés n'est plus gage de confidentialité

L'exploitation du bug a certainement permis à des personnes d'accéder à des comptes et à des profils privés. Le Guardian indique toutefois que si cette faille donne accès aux informations personnelles des internautes naviguant sur les sites affectés, l'interception de numéros de cartes bancaires n'a pas encore été prouvée pour l'instant.

4 - Que faire pour s'en protéger ?

Pour l'heure, il n'y a pas grand chose à faire. Une chose est sûre, il ne sert à rien de changer ses mots de passe tant que les sites affectés ne vous demandent pas de le faire. Le problème est en passe d'être corrigé. Un patch correctif, Fixed Open SSL, a déjà été déployé lundi soir et les administrateurs des sites affectés doivent désormais mettre à jour leur serveur avec la dernière version d'Open SSL. Yahoo! a par exemple déjà annoncé avoir réglé le problème sur ses serveurs et pourrait demander rapidement à ses utilisateurs de réinitialiser leurs identifiants de connexion. 

Face à l'ampleur de la faille, le réseau Tor, chantre du surf anonyme, recommande de limiter au maximum sa navigation internet pendant quelques jours, le temps qu'un patch correctif soit appliqué sur l'ensemble des sites concernés. En clair, il convient d'effectuer le moins d'opérations sensibles, dans la limite du possible, sur les sites utilisant le logiciel Open SSL jusqu'à ce que la faille ne soit réparée.

La rédaction vous recommande
Lire la suite
Internet Culture Sécurité
Restez informé
Commentaires

Afin d'assurer la sécurité et la qualité de ce site, nous vous demandons de vous identifier pour laisser vos commentaires. Cette inscription sera valable sur le site RTL.fr.

Connectez-vous Inscrivez-vous

500 caractères restants

fermer
Signaler un abus
Signaler le commentaire suivant comme abusif
500 caractères restants
article
7771064353
"Heartbleed" : comprendre la faille de sécurité sur internet en 4 points
"Heartbleed" : comprendre la faille de sécurité sur internet en 4 points
DÉCRYPTAGE - Une importante faille de sécurité affectant plus de la moitié des sites internet a été découverte. Le problème a été corrigé mais la mise à jour doit encore être déployée sur les sites concernés.
https://www.rtl.fr/actu/futur/heartbleed-comprendre-la-faille-de-securite-sur-internet-en-4-points-7771064353
2014-04-09 18:53:31
https://cdn-media.rtl.fr/cache/vXcCndl5cFAqtQRMQjnsiA/330v220-2/online/image/2014/0409/7771065587_heartbleed-une-importante-faille-de-securite-affectant-les-protocoles-utilises-pour-crypter-le-trafic-internet-a-ete-mis-au-jour-dans-la-nuit-du-7-au-8-avril-2014.jpg