Tech & internet / Life

Le bug Heartbleed nous met-il tous à poil sur Internet?

REUTERS/Albert Gea.
REUTERS/Albert Gea.

Temps de lecture: 4 minutes - Repéré sur Cnet, The Guardian

Le nom a de quoi faire paniquer. Heartbleed (pour «coeur qui saigne») est un bug détecté dans la nuit du lundi 7 au mardi 8 avril, qui permettrait d'accéder à une partie des informations stockées sur un grand nombre de serveurs des services sur Internet: sites, mais aussi messageries ou bien encore «dispositifs de mise à jour des smartphones», précise à Slate l'expert réseau Stéphane Bortzmeyer.

En clair donc, «vos identifiants et mots de passe peuvent être compromis, ainsi que vos échanges chiffrés», prévient NextINpact. D'autres médias avancent aussi que les numéros de cartes bancaires utilisées sur les sites d'e-commerce peuvent avoir été subtilisés.

Alors, est-ce le moment de paniquer et de cesser toute sorte d'activité sur Internet? 

1.C'est quoi ce bug?

Concrètement, la faille Heartbleed affecte un service appelé OpenSSL qui permet de chiffrer les communications sur Internet. Ce service est très populaire et assure donc, a priori, la confidentialité de vos faits et gestes sur les sites et services qui l'utilisent. Une protection qui s'appuie sur un échange secret, explique le site spécialisé CNet, entre les serveurs du site en question et les internautes:

«Les serveurs web qui l'utilisent envoient une clé de chiffrement à un visiteur, qui est ensuite utilisée pour protéger toutes les autres informations entrant et sortant du serveur.»

La fameuse faille Heartbleed aurait été créée en 2011 lors de la mise à jour du code d'OpenSSL. Elle n'a été rendue publique que dans la nuit du 7 au 8 avril.

2.Quels sites sont concernés?

Pour commencer, seul Yahoo serait concerné par cette faille parmi les gros bonnets du web, de ceux qui nous viennent immédiatement à l'esprit: «Google, Microsoft, Twitter, Facebook, Dropbox, et d'autres sites majeurs» seraient ainsi épargnés, explique CNet.

Cela n'empêche pas en revanche d'autres sites moins massifs d'être touchés. OpenSSL étant très utilisé, cela renforce les risques de voir ses données exposées par tout un tas de services sur Internet. La plateforme de partage d'images Imgur serait ainsi affectée, ainsi que le site de rencontre OkCupid et même le site du FBI, liste encore le Guardian.

Depuis que la faille a été rendue publique, des petits outils permettent de vérifier si tel ou tel site est concerné par le bug. Prudence néanmoins, prévient Stéphane Bortzmeyer: ces dispositifs ne sont pas complètement infaillibles et maintenant que la faille est publique, certains sites pourraient par ailleurs la maintenir volontairement pour piéger et identifier d'éventuels attaquants.

3.Que permet ce bug? Faut-il paniquer?

Difficile à dire. A l'instar de la majorité des observateurs et experts du réseau, Stéphane Bortzmeyer concède que l'événement est «sérieux», tout en avouant qu'il est «difficile de synthétiser ce que, concrètement, ce bug va permettre ou non.»

Une chose est sûre, selon lui: cette faille fait voler en éclats l'idée selon laquelle on est en sécurité dès que l'on aperçoit un petit cadenas à côté de l'URL du site que l'on visite.

Mais la situation n'est pas complètement cataclysmique, du moins pour l'instant. Pour commencer, l'exploitation de ce bug permet non pas de siphonner toute la mémoire des serveurs d'un site, mais seulement «un bout» (64KB seulement, l'équivalent d'un petit fichier texte, d'une image...), précise encore l'expert réseau. De plus, l'individu qui profiterait de la faille ne peut a priori pas contrôler ce qu'il va pêcher.

Concrètement, l'exploitation du bug a bel et bien permis à des personnes ayant connaissance du bug d'obtenir quelques identifiants, associés à leurs mots de passe, sur Yahoo. De même, le Guardian raconte que cette vulnérabilité permet d'avoir un aperçu des «cookies de la dernière personne à avoir visité le serveur affecté», ce qui «révèle des informations personnelles de cet internaute», poursuit le journal anglais. Une conclusion que confirme Stéphane Bortzmeyer:

«A ce moment là, pas besoin du mot de passe du visiteur, il est possible de se connecter à sa place.»

Si elle n'est pas impossible en soit, dans la mesure où cette faille permettrait de voir l'ensemble du contenu de la mémoire d'un serveur touché, l'interception de numéros de carte bancaire ne semble pas avoir été constatée en pratique, poursuit le spécialiste réseau. «Il y a une différence entre ce qu'il est possible de faire et la pratique», prévient-il.

Dans les heures qui suivent, les spécialistes de la sécurité sur Internet en apprendront certainement davantage sur ce que permet ou non cette vulnérabilité. Or, cette connaissance approfondie peut tout aussi bien confirmer la gravité de la situation que l'infirmer.

Cette prudence vaut également pour les clés de chiffrement utilisées par les serveurs. A en croire certains experts en sécurité relayés par la presse, ces clés, qui permettent a priori de sécuriser notre passage sur le serveur d'un site, sont également compromises. «Des attaquants peuvent prendre des copies de ces clés», écrit CNet, quand le Guardian avance que le bug «ne permet pas seulement aux attaquants de lire les données chiffrées et confidentielles; il leur permet aussi de prendre les clés de chiffrement utilisées pour sécuriser les données».

Là encore, précise Stéphane Bortzmeyer, aucune preuve formelle n'a été apportée.

Mise à jour (9 avril 2014, 16h): ce dernier nous a informé que cette preuve a été depuis apportée. Ce qui confirme les conseils donnés au point 4. aux administrateurs des serveurs affectés: réparer le bug mais aussi créer de nouvelles clés de chiffrement.

4.OK, donc je fais quoi?

Pour le moment, il n'y a pas vraiment de conseils précis à donner aux internautes inquiets, «si ce n'est ne pas utiliser Internet, ce qui est un conseil plutôt difficile!», reprend Stéphane Bortzmeyer. Le Guardian ne dit d'ailleurs pas autre chose, indiquant:

«Pour les utilisateurs, la chose la plus simple est d'éviter de s'engager dans des activités sensibles sur Internet pendant quelques jours.»

Sachez qu'il ne sert à rien, dans un premier temps en tout cas, de changer ses mots de passe. Si le vol des clés de chiffrement se confirme en effet, les attaquants peuvent aussi s'en servir pour «déchiffrer les communications passées voire futures», indique encore CNet. 

Néanmoins, ce changement sera indispensable dès que vous vous serez assuré que les sites concernés par ce bug ont fait le nécessaire pour le réparer, et ne plus en subir les effets à l'avenir.

De ce fait, la responsabilité incombe dans un premier temps aux personnes en charge des serveurs des sites en question, estime Stéphane Bortzmeyer. Ces derniers doivent en effet faire le nécessaire pour réparer ce bug avant de refaire une clé de chiffrement, afin d'éviter toute autre compromission.

Andréa Fradin

Mise à jour le 9 avril 2014 sur l'extraction des clés de chiffrement et les conseils pour se protéger des effets du bug.

cover
-
/
cover

Liste de lecture