Alors que l’univers avait le regard tournes par Windows XP, l’apocalypse a bien failli venir de la technologie bien moins connue du grand public: OpenSSL, 1 protocole largement utilise Sur les forums pour crypter le trafic Web. Mais si le pire fut evite, la prudence reste de mise.
OpenSSL, c’est quoi?
Vous voyez votre petit cadenas, accompagne de «https», a gauche de la adresse Web, par exemple sur Yahoo.fr? Ca signifie que le trafic echange entre votre PC et le serveur reste crypte, surtout pour proteger des renseignements confidentielles comme un mot de passe ou un numero de carte bancaire. OpenSSL reste une technologie open source utilisee via de multiples sites Afin de implementer des deux protocoles de cryptage nos plus communs, SSL et TLS.
Qu’est-ce qui saigne?
Le bug a ete baptise «heartbleed» (c?ur qui saigne) avec ceux qui l’ont decouvert, des chercheurs finlandais de Codenomicon et une equipe de Google Security. Il s’agit d’un defaut de conception qui permet a un individu tierce de recuperer des precisions. A sa base, la requete «heartbeat» verifie que J’ai connexion avec un serveur sera alors active, comme une sorte de «ping». Mais en ajoutant des parametres, a la place de repondre un simple «pong», le serveur crache des informations stockees au sein d’ sa memoire vive: login, mot de passe, numero de carte bleue etc. Pire, les cles de cryptage utilisees par le website vont pouvoir meme etre obtenues. Selon l’expert Bruce Schneier, la faille reste «catastrophique».
Combien de blogs paraissent concernes?
Beaucoup. Par rapport aux experts, environ deux tiers des serveurs Web utilisent OpenSSL, en particulier ceux sous Apache ou Nginx. Notre faille ne concerne malgre tout qu’une version recente, de 2011. Selon Netcraft, au moins un demi-million de blogs sont touches. Il semble que Google, Facebook, Microsoft, Twitter, Amazon ou Dropbox n’aient jamais ete concernes (ou qu’ils aient bouche la faille avant l’annonce publique). Mes sites de Yahoo, Imgur, OkCupid, KickAss Torrent et du FBI, en revanche, etaient vulnerables.
Le souci corrige, la mise a jour en cours de deploiement
Les chercheurs ont travaille avec OpenSSL, et un patch fut deploye lundi jour. Mes administrateurs Web doivent mettre a jour un serveur a J’ai derniere version (OpenSSL 1.0 
.1g). Divers geants du Net, comme les aiguilleurs de trafic Akamai et CloudFlare, ont i priori ete prevenus en avance et l’ont deja fait. D’autres, comme Yahoo, l’ont decouvert mardi matin et ont update leurs systemes en urgence.
Potentiellement, votre probleme de long terme
Ils font deux problemes. D’abord, on ne sait gui?re si la faille a ete exploitee avant qu’elle ne soit rendue publique. Surtout, un blog n’a aucun moyen de savoir si ses serveurs ont «saigne» des donnees par le passe. Selon l’expert en securite Michael Kreps, si des hackers ont reussi a derober des cles de cryptage, ils pourront des se servir de plus tard. Pour couvrir ses utilisateurs, un site doit deposer de nouvelles cles et renouveler le certificat de securite, ce qui coute souvent de l’argent.
Que Realiser Afin de l’utilisateur?
Pas grand chose. Le reseau TOR, qui permet de surfer anonymement, conseille a ses utilisateurs «de ne point choisir Internet pendant certains jours», le temps que le patch soit applique partout. Cet outil va permettre de tester si un site reste vulnerable, mais il ne roule pas Afin de l’ensemble de. En cas de resultat positif, il ne faudrait surtout nullement rentrer ses informations de connexion. Il est enfin probable que en prochains semaines, des geants comme Yahoo conseillent de reinitialiser son mot de passe. Selon Quelques experts, mieux vaut attendre 48h, afin de ne pas rentrer 1 nouveau commentaire de passe sur un site i nouveau non patche.
EN