Internet/Sécurité

Heartbleed, la plus importante faille de sécurité sur Internet

Le symbole de cette faille informatique, un coeur qui saigne...
Le symbole de cette faille informatique, un coeur qui saigne... http://heartbleed.com/

Des experts informatiques ont signalé l’existence d’une des plus graves failles de sécurité découvertes depuis des années. Cette faille baptisée « Heartbleed » permet à des pirates informatiques d’avoir accès à des données sensibles, dont des mots de passe ou des codes secrets, en passant par la mémoire des serveurs.

Publicité

Emmanuel Schalit directeur général de Dashlane, une application qui sert de coffre-fort à mots de passe personnels, ne mâche pas ses mots : « Il s’agit de la plus grande faille de sécurité de l’histoire de l’internet ! » C’est un expert de chez Google Security, Neel Mehta, qui a mis à jour cette importante faille de sécurité. Elle réside dans un logiciel de cryptage utilisé par les sites internet pour protéger mots de passe et autres données bancaires. Le nom de la faille : « Heartbleed » (« cœur qui saigne »). Emmanuel Schalit explique l’importance de la faille en 5 raisons essentielles : « L’OpenSSL est un service que 75 à 80% des sites utilisent comme interface avec les utilisateurs. Nous-mêmes l’utilisons, mais cela n’a absolument pas d’impact sur les données de nos utilisateurs. »

« L’attaquant ne laisse aucune trace lors de l’intrusion »

Très préoccupant selon lui : « Cette faille est là depuis mars 2002. Il est donc impossible de savoir dans la pratique si des hackers malveillants avaient eu déjà connaissance de la faille. » Et si seulement les hackers la connaissaient, il ajoute : « ils n’allaient pas le révéler car, ce qui est notable pour cette faille, l’attaquant ne laisse aucune trace lors de l’intrusion et peut donc revenir constamment. » Et de conclure : « si jamais les hackers ne la connaissaient pas, depuis lundi, tout le monde est au courant de la faille et elle très facile à exploiter. Cela va donc prendre du temps de fermer la porte d’OpenSSL. »

« Décrypter toutes les connexions passées et à venir »

L’OpenSSL est un logiciel libre très utilisé pour les connexions sécurisées sur internet, matérialisées par exemple par une adresse démarrant par « https » ou un petit cadenas lors des transactions bancaires et de l’identification sur un site internet. Emmanuel Schalit explique : « C’est un morceau de technologie pour chiffrer les communications entre les navigateurs et les sites. Il y a donc les données les plus confidentielles : login, mot de passe, et surtout les clefs de chiffrement du service… C’est encore pire concernant cette faille ! » La faille ouvre ainsi la porte à la pièce la plus importante qui contient les données. Heartbleed.com, le site internet mis en place pour détailler les caractéristiques de la faille, explique concernant ses clefs : « elles permettent aux pirates de décrypter toutes les connexions passées et à venir avec les services protégés. »

Emmanuel Schalit ajoute : « Il sera donc long et difficile d’apprendre quels ont été réellement les dégâts. » Car : « L’industrie des cybercriminels ne va pas se vanter de ce qu’ils dérobent. Ils ne feront certainement pas de communication sur les dégâts. » « Cette faille n’affecte pas un service comme Dashlane », explique Emmanuel Schalit. « Nous n’avons pas accès aux données de nos utilisateurs. C’est une question de chiffrement, le mot de passe maitre Dashlane est la base à la clef du chiffrement des données personnelles, chaque utilisateur à donc une clef unique. »

« Rester  à l’écart d’internet dans les prochains jours »

Chez Dashlane « on recommande toujours d’avoir un mot de passe différent sur chaque compte. Si vous possédez le même mot de passe alors le hacker peut le tester partout, Linkedin, Twitter et aussi les banques ! » Emmanuel Schalit ne conseille pas forcément de faire le changement de suite, mais « pour les sites critiques, on recommande de changer le mot de passe. » Puis après une quinzaine de jours, une fois la faille réparée, il faudra une nouvelle fois rechanger les mots de passe… Certains experts suggèrent même, pour ceux qui ont « besoin de vrai anonymat ou de protection de leur vie privée sur internet » de « rester complètement à l’écart d’internet dans les prochains jours, le temps que les choses soient réglées ».

NewsletterRecevez toute l'actualité internationale directement dans votre boite mail