La faille Heartbleed fait ses premières victimes, dont le fisc canadien

Les premiers piratages liés à la faille de sécurité Heartbleed sont confirmés. Au Canada, les numéros d’assurance sociale de 900 contribuables ont été dérobés. Au Royaume-Uni, le site spécialisé Mumsnet alerte ses 1,5 million de membres. En France, les banques tentent de rassurer, sans vraiment convaincre.

Révélée au monde le 7 avril, la faille de sécurité Heartbleed qui affecte OpenSSL, une bibliothèque Open Source de chiffrement SSL/TLS des connexions, fait ses premières victimes. L’administration fiscale canadienne (CRA) est la dernière en date, mais elle n’est pas la seule, loin s’en faut ! Selon les estimations, entre 30 et 50% des sites web seraient concernés.

« Le code vulnérable est intégré dans de très nombreux serveurs et sites web, il est également utilisé dans des messageries et certains systèmes d’accès distants d’entreprises. Des acteurs de tous les secteurs sont concernés. Mais il est difficile de préciser combien, d’autant plus qu’une attaque potentielle ne laisse pas de trace dans les journaux d’événements », explique à la rédaction Thomas Gayet, directeur stratégie cybersécurité du cabinet Lexsi.

Des contribuables canadiens aux foyers britanniques

Lundi 14 avril, l’Agence du revenu du Canada (Canada Revenue Agency – CRA) a confirmé que les numéros d’assurance sociale (NAS) d’environ 900 contribuables ont été dérobés par des hackers ayant exploité la faille Heartbleed. Le vol de données aurait eu lieu le 8 avril, dans les six heures qui ont précédé la fermeture de l’accès public à ses services en ligne, fermeture décidée pour « protéger les renseignements des contribuables ».

En plus des numéros d’usagers, des données confidentielles relatives à des entreprises ont pu être dérobées également. Depuis, la CRA a corrigé la faille, mis à niveau son système et finalement relancé, le 13 avril, ses services en ligne. L’institution canadienne déclare aussi transmettre des courriers recommandés aux victimes potentielles, qui se verront proposer des services de protection du crédit, sans frais…

Au Royaume-Uni, le second site web dédié aux parents, Mumsnet, qui compte 1,5 million de membres inscrits, fait également les frais de la vulnérabilité logicielle. « Le 11 avril, il est devenu évident que la faille Heartbleed a été utilisée pour accéder aux données de comptes utilisateurs de Mumsnet », a indiqué sa fondatrice, Justine Roberts, aux utilisateurs du site britannique.

« Nous n’avons aucun moyen de savoir quels utilisateurs ont été touchés. Le pire scénario est que l’on ait eu accès aux données de chaque compte utilisateur de Mumsnet », a-t-elle souligné. « Il est possible que ces informations aient été utilisées pour se connecter au site et avoir accès à l’historique des messages diffusés sur le forum, aux messages personnels et au profil personnel des utilisateurs, même si nous n’avons aucune preuve qu’un compte ait été utilisé pour quoi que ce soit d’autre que de signaler la violation de la sécurité », a ajouté Justine Roberts.

Les banques françaises et la communication de crise

En France, le fisc aurait écarté le danger, rapportent Les Échos. Les sites fiscaux institutionnels, dont impots.gouv.fr, ne « sont pas concernés par la faille de sécurité », a assuré la Direction générale des finances publiques (DGFIP).

Quant aux banques françaises, elles tentent de rassurer. Peu d’entre elles déclarent utiliser OpenSSL, les autres affirment avoir colmaté la brèche rapidement. Le Crédit Agricole, la Société générale et le Crédit Mutuel ont assuré sur NextINpact et sur Twitter ne pas être concernés par cette vulnérabilité logicielle. De son côté, BNP Paribas a indiqué que son site de banque en ligne était « intrinsèquement invulnérable face à de telles failles ».

« En France, le système bancaire et financier ne serait pas touché, alors qu’en Suisse plus d’une quarantaine de banques ont déclaré l’être. C’est pour le moins surprenant », commente Marc Cierpisz, manager du centre d’excellence Team Risk & Security de Devoteam, interrogé par la rédaction. Une nouvelle manifestation du syndrome du nuage de Tchernobyl ?

Aux États-Unis, la Réserve fédérale américaine (Fed) a demandé, dès le 10 avril, aux banques et institutions financières d’appliquer les correctifs nécessaires et de mettre à niveau leurs systèmes pour préserver leurs données et celles de leurs clients. Les équipementiers Cisco et Juniper ont été affectés. D’autres pourraient l’être.

La faille Heartbleed expose des données sensibles, dont « les identifiants, les mots de passe, mais aussi les cookies de session et les clés de chiffrement liés au protocole SSL (Secure Sockets Layer). Selon les configurations, il est donc possible pour un attaquant ayant intercepté du trafic HTTPS (HyperText Transfer Protocol Secure) de le déchiffrer », explique Thomas Gayet.

Changer les clés de chiffrement

« Le pire des scénarios serait que des cybercriminels aient identifié la faille bien avant le 7 avril et l’utilise depuis son apparition sur Internet il y a 2 ans », souligne Thomas Gayet. Dans le meilleur des cas, la vulnérabilité a été utilisée tardivement à des fins malveillantes.

« Nous n’en sommes qu’aux prémices. La gestion et l’application des correctifs de sécurité, cela n’est pas une mince affaire », souligne Marc Cierpisz.

« Pour se prémunir, les entreprises doivent identifier les systèmes vulnérables à cette faille, puis corriger celle-ci – les solutions sont disponibles pour une grande partie des systèmes. Elles doivent aussi vérifier que leurs partenaires ont fait ce même travail et changer leurs clés de chiffrement. » La réaction de la communauté de sécurité a été bonne, ajoute Lexsi. Mais « il reste un faible pourcentage d’entreprises qui n’ont pas pris les mesures nécessaires », alerte Thomas Gayet.


Lire aussi :

Faille Heartbleed : le patch d’Akamai était vérolé