Le bug Heartbleed a été repéré dans la nuit du lundi 7 avril au mardi 8 avril. Cette faille a été découverte sur le logiciel qui est utilisé pour protéger les mots de passe. Elle permettrait donc d'accéder à un grand nombre d'informations stockées sur des serveurs de service sur internet : sites, messageries. Cette faille a été détectée par les experts en sécurité de Google et de Codenomicon.

 

Comment ça marche?

La faille affecte un service qui s'appelle Open SSL. Ce service permet d'assurer la confidentialité des données des utilisateurs sur les sites internet.

En clair, les hackers en passant par la mémoire des serveurs peuvent facilement récupérer les mots de passe, identifiants, numéros de carte bancaire, ou autres informations personelles.  Jusqu'à 64 kilo octets peuvent être transmis.

 

Un danger pour le net?

Cette faille semble dangereuse puisque près de deux tiers des sites web utilisent OpenSSL. De nombreux site web sont donc aujourd'hui vulnérables. Selon Netcraft, 17,5% des sites seraient en danger soit 1.5 million. Cette faille est d'autant plus importante puisqu'elle existerait depuis décembre 2011 !  Elle a été mise en place lors de la mise à jour du code d'Open SSL. Elle est dûe à une erreur de programmation dans les dernières versions. Les versions d'OpenSSl antérieures à la version 1.01 ne sont donc pas affectées. 

Différents sites sont concernés tels que Yahoo. En revanche les géants tels que Facebook, Twitter, ou Google ne seraient pas concernés. Le problème le plus important semble s'afficher sur le long terme car les sites n'ont aucun moyen de savoir si la faille a été exploitée avant qu'elle ne soit publique. Si les hackers ont réussi à s'emparer des informations, ils pourront à priori les utiliser plus tard.

 

Que faire?

Pas de panique, des correctifs ont déjà été publié pour la version 1.01 d'OpenSSL. Néanmoins, le réseau TOR conseille aux internautes de limiter l'utilisation d'internet le temps que le problème soit réglé.  

 

 

 

Share this:
params->get('copyright')); */?>