"Heartbleed" : comprendre la faille de sécurité sur internet en 4 points

Depuis près de 48 heures, l'affaire affole les spécialistes du Web. Une importante faille de sécurité a été mise au jour dans la nuit du 7 au 8 avril. 

Baptisée "Heartbleed" ("cœur qui saigne"), elle affecte les protocoles utilisés pour crypter le trafic Internet, utilisés par de nombreux sites internet pour garantir la confidentialité des informations renseignées par les internautes. Elle permettrait aux pirates de récupérer ces données en passant en revue la mémoire des serveurs de l'ordinateur.

1 - Quelle est cette faille ?

La faille touche le logiciel de cryptage en libre accès Open SSL. Une technologie qui permet de sécuriser des données confidentielles en les chiffrant. Lorsque vous naviguez sur un site qui utilise Open SSL, un petit cadenas apparaît à gauche de l'url "https" dans la barre d'adresse du site web, signifiant que le trafic échangé entre votre ordinateur et le serveur est crypté. 

Problème : en l'absence de vérification d'une mise à jour du logiciel, des pirates ont pu accéder aux serveurs protégés et aux données qu'ils contiennent, notamment les clés de chiffrement permettant de sécuriser les sites.

2 - Combien de sites sont concernés ?

Le logiciel est utilisé par plus des deux tiers des sites web. Mais la faille n'existe pas sur toutes les versions. Elle existerait depuis le mois de décembre 2011 et aurait été accrue par la mise à jour d'Open SSL en mars 2012. Si Amazon, Facebook, Google, Microsoft, Twitter et la plupart des géants du web ont été épargnés - à moins qu'ils n'aient corrigé la faille avant son annonce publique -, il n'en va pas de même pour Yahoo!, Torrent, le site du FBI ou Imgur, qui ont été reconnus vulnérables. 

Au total, plus de 500.000 sites seraient concernés selon le site spécialisé Netcraft. De nombreux sites stockant des identifiants bitcoins sont également affectés, indique le site Blogmotion.

3 - Que risque-t-on avec cette faille ?

Il est encore difficile d'affirmer dans quelle mesure cette faille peut être dommageable pour les internautes. Seule certitude, le petit cadenas accolé à l'url des sites sécurisés n'est plus gage de confidentialité. 

L'exploitation du bug a certainement permis à des personnes d'accéder à des comptes et à des profils privés. Le Guardian indique toutefois que si cette faille donne accès aux informations personnelles des internautes naviguant sur les sites affectés, l'interception de numéros de cartes bancaires n'a pas encore été prouvée pour l'instant.

4 - Que faire pour s'en protéger ?

Pour l'heure, il n'y a pas grand chose à faire. Une chose est sûre, il ne sert à rien de changer ses mots de passe tant que les sites affectés ne vous demandent pas de le faire. Le problème est en passe d'être corrigé. Un patch correctif, Fixed Open SSL, a déjà été déployé lundi soir et les administrateurs des sites affectés doivent désormais mettre à jour leur serveur avec la dernière version d'Open SSL. Yahoo! a par exemple déjà annoncé avoir réglé le problème sur ses serveurs et pourrait demander rapidement à ses utilisateurs de réinitialiser leurs identifiants de connexion. 

Face à l'ampleur de la faille, le réseau Tor, chantre du surf anonyme, recommande de limiter au maximum sa navigation internet pendant quelques jours, le temps qu'un patch correctif soit appliqué sur l'ensemble des sites concernés. En clair, il convient d'effectuer le moins d'opérations sensibles, dans la limite du possible, sur les sites utilisant le logiciel Open SSL jusqu'à ce que la faille ne soit réparée.

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

Je créé mon compte Se connecter

S’abonner à la Newsletter RTL Info