La faille « Heartbleed » menace vos données personnelles sur internet

La faille dans un logiciel de cryptage existait depuis deux ans, mais elle n’a été révélée qu’hier. Mots de passe et numéros de carte bancaire sont potentiellement en danger sur de nombreux sites.

Des spécialistes informatiques ont découvert une faille informatique dans le logiciel OpenSSL. Elle est appelée « Heartbleed » (coeur qui saigne) car elle touche le coeur du système. Installé sur le serveur d’un site, ce programme permet de sauvegarder et protéger les informations des visiteurs (mots de passe, numéros de carte, etc.).

Les données personnelles en danger

OpenSSL est un service qui permet de chiffrer les communications sur internet. Beaucoup de sites utilisent ce système pour sécuriser les données de leurs visiteurs. Ils affichent alors une icône en forme de cadenas dans la barre de navigation. La faille Heartbleed aurait été créée en 2011 lors d’une mise à jour, mais elle n’a été révélée qu’hier.

Des pirates informatiques pouvaient donc passer par la mémoire des serveurs pour accéder aux mots de passe et aux clés qui déverrouillent les données protégées. « Ce sont les joyaux de la couronne, les clés de chiffrement elles-mêmes. Ces clés permettent aux pirates de déchiffrer tous les trafics, passés et à venir, vers les services protégés et d’imiter ces services », indique le site Heartbleed.com.

Un danger limité

Le danger que représente ce bug est pourtant limité, et ce pour plusieurs raisons. Parmi les sites majeurs d’internet, seul Yahoo ! serait touché par la faille. Google, Facebook, Twitter, Microsoft, Dropbox et d’autres grandes plateformes ne sont pas concernés car ils n’utilisent pas OpenSSL.

Ensuite, la faille ne donne accès qu’à une petite partie de la mémoire d’un site. Un pirate ne peut récupérer que 64 KB de données. Soit un petit fichier texte ou une image. Et il lui est impossible de sélectionner les informations à récupérer.

Un informaticien de Google, Adam Langley, a participé à la correction de la faille. Selon lui, les informations qu’il a pu récupérer en testant le bug étaient très parcellaires.

When testing the OpenSSL heartbeat fix I never got key material from servers, only old connection buffers. (That includes cookies though.)

— Adam Langley (@agl__) 8 Avril 2014 Évitez les activités sensibles sur internet

Sans aller jusqu’à déconseiller d’utiliser internet, les spécialistes informatiques conseillent d’éviter les activités sensibles. Ils recommandent d’attendre quelques jours, le temps que les sites concernés trouvent une solution. Une fois le problème réglé, vous pourrez modifier vos mots de passe si vous le désirez.

Enfin, le site filippo.io/Heartbleed permet de tester si un site internet est vulnérable ou non.