Pour gérer vos consentements :
Categories: CloudSécurité

Heartbleed : 2 sites Web sur 3 touchés par la faille OpenSSL ?

Une nouvelle faille majeure frappe Internet. Elle vient d’être révélée par des chercheurs de Google et de l’éditeur en sécurité Codenomicon Defensics. Baptisée Heartbleed, la vulnérabilité référencée CVE-2014-0160 permet à des pirates d’accéder aux informations personnelles (jusqu’à 64 Ko de données) et chiffrées des utilisateurs lors de transactions en ligne.

Le trou de sécurité touche le logiciel OpenSSL chargé de protéger login de connexion, mot de passe, numéro de carte bancaire et autres données depuis le serveur qui héberge la transaction en cryptant la communication réalisée depuis le terminal (PC, tablette, smartphone…) sous protocole SSL/TLS.

Une faille vieille de plus de deux ans

« Le bug Heartbleed permet à n’importe qui sur Internet de lire la mémoire des systèmes protégés par les versions vulnérables du logiciel OpenSSL, indique le site dédié à la faille Heartbleed.com. Cela compromet les clés secrètes utilisées pour identifier les fournisseurs de services et crypter le trafic, les noms et les mots de passe des utilisateurs et le contenu réel. Cela permet aux attaquants d’espionner les communications, de voler des données directement depuis les services et les [terminaux des] utilisateurs et usurper des services et des utilisateurs. » On ne peut être plus clair.

Paradoxalement, ce sont les versions les plus récentes du logiciel qui sont affectées : les 1.0.1, 1.0.1f et 1.0.2-beta. Les versions antérieures (1.0.0 et 0.9.8) seraient épargnées. Il n’en reste pas moins que le bug a été introduit en décembre 2011. Voilà donc plus de deux ans qu’il met en danger les communications chiffrées sur Internet (les transactions mais aussi éventuellement les communications par messagerie instantanée et e-mail) et certains réseaux privés virtuels (VPN) généralement souscrits pour les besoins de sécurité des entreprises.

La moitié des sites Web concernés

Selon l’entreprise de sécurité Fox-IT (qui détaille les procédures de test à la vulérabilité), pas moins de la moitié des sites Internet seraient affectés par la vulnérabilité. De fait, OpenSSL est utilisé par les serveurs Apache et nginx qui composent, selon Netcraft, 66% des serveurs web. Néanmoins, l’exploitation de Heartbleed dépend de la façon dont le logiciel est implémenté. Du coup, parmi les géants du Net, seul Yahoo en aurait été victime. Microsoft, Google, Facebook, Apple n’en seraient pas affectés. Pas plus que la majorité des sites bancaires et d’e-commerce.

Il n’en reste pas moins que la mise à jour vers une version corrigée d’Open SSL (la 1.0.1g et prochainement la 1.0.2-beta2) est indispensable pour les sites affectés. Yahoo pour sa part a déclaré avoir résolu le problème. D’autres acteurs, comme CloudFlare, fournisseur de solutions d’optimisation d’applications cloud, ont également anticipé et mis à jour leurs systèmes avant l’annonce publique de la faille lundi 7 avril. Pas de panique, donc. Fox-IT recommande néanmoins aux administrateurs de renouveler les clés privées de chiffrement et de remplacer les certificats. L’utilisateur, lui, a tout intérêt à changer ses mots de passe après que ses sites d’e-commerce favori ou bancaires ait corrigé le problème.

crédit photo © Sashkin – shutterstock


Lire également
550 millions de données personnelles dérobées en 2013

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

7 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

8 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

11 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

14 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

17 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

1 jour ago