Alors que l’univers avait les yeux tournes par Windows XP, l’apocalypse a bien failli venir de la technologie bien moins connue du grand public: OpenSSL, un protocole largement utilise sur internet Afin de crypter le trafic Web. Mais si le pire a ete evite, la prudence reste de mise.
OpenSSL, c’est quoi?
Vous voyez ce petit cadenas, accompagne de «https», a gauche d’une adresse Web, comme via Yahoo.fr? Cela signifie que le trafic echange entre votre PC et le serveur reste crypte, en particulier Afin de proteger des informations confidentielles comme un mot de passe ou un numero de carte bancaire. OpenSSL reste une technologie open source utilisee via de multiples sites pour implementer des deux protocoles de cryptage des plus communs, SSL et TLS.
Qu’est-ce qui saigne?
Le bug a ete baptise «heartbleed» (c?ur qui 
saigne) via ceux qui l’ont decouvert, des chercheurs finlandais de Codenomicon et une equipe de Google Security. Cela s’agit d’un defaut de conception qui permet a une personne tierce de denicher des donnees. A votre base, la requete «heartbeat» verifie que J’ai connexion avec 1 serveur sera alors active, comme une sorte de «ping». Mais en ajoutant des parametres, au lieu de repondre un simple «pong», le serveur crache des informations stockees au sein d’ sa memoire vive: login, mot de passe, numero de carte bleue etc. Pire, les cles de cryptage employees par le website peuvent meme etre obtenues. Selon l’expert Bruce Schneier, la faille est «catastrophique».
Combien de blogs seront concernes?
Beaucoup. Par rapport aux experts, plus de deux tiers des serveurs Web utilisent OpenSSL, principalement ceux sous Apache ou Nginx. Notre faille ne concerne malgre tout qu’une version recente, de 2011. Selon Netcraft, bien un demi-million de blogs sont touches. Il semble que Google, Facebook, Microsoft, Twitter, Amazon ou Dropbox n’aient pas ete concernes (ou qu’ils aient bouche la faille avant l’annonce publique). Mes sites de Yahoo, Imgur, OkCupid, KickAss Torrent et du FBI, en revanche, etaient vulnerables.
Le souci corrige, la mise a jour en cours de deploiement
Les chercheurs ont travaille avec OpenSSL, et un patch fut deploye lundi soir. Mes administrateurs Web doivent mettre a jour un serveur a la derniere version (OpenSSL 1.0.1g). Quelques geants du Net, comme les aiguilleurs de trafic Akamai et CloudFlare, ont i priori ete prevenus en avance et l’ont deja fait. D’autres, comme Yahoo, l’ont decouvert jeudi matin et ont update leurs systemes en urgence.
Potentiellement, votre probleme de long terme
Il y a deux problemes. D’abord, on ne sait nullement si la faille fut exploitee avant qu’elle ne soit rendue publique. Surtout, un site n’a aucun moyen de savoir si ses serveurs ont «saigne» des donnees par le passe. Selon l’expert en securite Michael Kreps, si des hackers ont reussi a derober des cles de cryptage, ils pourront des se servir de prochainement. Pour couvrir ses utilisateurs, un site doit deposer de nouvelles cles et renouveler le certificat de securite, ce qui coute souvent de l’argent.
Que faire pour l’utilisateur?
Pas grand chose. Le reseau TOR, qui permet de surfer anonymement, conseille a ses utilisateurs «de ne point utiliser Internet pendant deux jours», moyen que le patch soit applique partout. Cet outil permettra de tester si un blog est vulnerable, mais il ne marche gui?re pour l’ensemble de. En cas de resultat positif, il ne va falloir surtout gui?re rentrer ses renseignements de connexion. Cela reste enfin probable que au sein des prochains semaines, des geants comme Yahoo conseillent de reinitialiser le mot de passe. Selon Quelques experts, plus coi»te patienter 48h, pour ne pas rentrer un nouveau mot de marche via un blog bien non patche.