"Heartbleed", la faille sur le logiciel OpenSSL qui affole les spécialistes informatiques

Une faille, baptisée "heartbleed" ("coeur qui saigne"), affole les spécialistes informatiques. Elle a été découverte sur le logiciel de cryptage OpenSSL, qui est utilisé notamment pour protéger ses mots de passe et ses numéros de carte bancaire. Cette faille permettrait aux pirates de récupérer ces données en passant par la mémoire des serveurs de l'ordinateur, selon des spécialistes de la société de sécurité informatique Fox-IT.

Le logiciel est utilisé par la moitié des sites web, mais la faille n'existe pas sur toutes les versions. "Le nombre d'attaques qu'ils peuvent effectuer est sans limite", indique Fox-It dans un billet recensant les procédures à suivre pour repousser les incursions. Parmi les informations susceptibles d'êtres récupérées par les pirates figurent le code source (instructions pour le microprocesseur), les mots de passe, et les "clés" utilisées pour déverrouiller des données cryptées ou imiter un site.

Eviter d'utiliser internet pendant quelques jours

"Ce sont les joyaux de la couronne, les clés d'encodage elles-mêmes", souligne le site heartbleed.com qui détaille les vulnérabilités de la faille. Ces clés "permettent aux pirates de décrypter tous les trafics, passés et à venir, vers les services protégés et d'imiter ces services".

Grâce à cette faille, des chercheurs en sécurité informatique ont rapporté avoir été capables de récupérer des informations de mots de passe de Yahoo!, qui a précisé mardi avoir pu résoudre le problème. Selon Fox-IT, cette faille existe depuis deux ans environ.

À lire aussi

France

Les infos de 12h30 - Chèques-vacances : quelle est cette arnaque permettant de voler de l’argent et des données ?

Un billet sur le site Tor Project, qui milite pour l'anonymat en ligne, exhorte ceux qui ont des besoins élevés en matière de protection en ligne d'éviter d'utiliser internet pendant quelques jours, afin de permettre aux sites et aux serveurs d'améliorer leur sécurité.