OpenSSL – Heartbleed : de quoi parle-t-on ?

Hicham EL ALAOUI
Rédigé par Hicham EL ALAOUI

À cause de Heartbleed, tout le net est en ébullition. Concrètement, Heartbleed est une faille de sécurité qui touche l’application OpenSSL, un logiciel qui est utilisé pour sécuriser de très nombreux sites internet, d’où l’effervescence actuelle.

Le logiciel OpenSSL est utilisé par de très nombreux sites internet dans le monde pour sécuriser les données échangées sur le net, notamment les mots de passe, les numéros de carte bancaire, etc., c’est typiquement cette application qui fait affiché le petit cadenas de sécurité dans votre navigateur. Malheureusement pour lui, et pour la sécurité du web, l’existence d’une faille critique a été publiée le mardi 8 avril.

Baptisée Heartbleed (cœur qui saigne), cette faille de sécurité permettrait à des pirates de récupérer des informations dans la mémoire des serveurs vulnérables, de pouvoir accéder aux données sensibles, mais aussi de compromettre les certificats en interceptant la clé. Selon plusieurs experts qui ont évalué cette faille, « ses possibilités sont sans limites ! ».

Alors que la portée et l’exploitation éventuelle de cette faille sont encore floues, sa portée est telle qu’elle été qualifiée de majeure et de critique.

Alors que cette faille met en péril une bonne partie de la sécurité du web, les internautes ne peuvent pas y faire grand-chose, vu qu’elle se situe sur les serveurs. C’est donc aux administrateurs système de patcher au plus vite l’application. Si les grands groupes ont d’ailleurs déjà déployé des correctifs, de nombreux sites doivent encore être mis à jour. En tant qu’utilisateur, la patience et la prudence sont de mise, notamment vis-à-vis des mails suspects qui pourraient arriver. En effet, des pirates auraient très bien pu exploiter cette faille au point de revenir vers vous pour vous soutirer d’autres informations, une attaque phishing typique. Donc prudence vis-à-vis de tous les mails en provenance de votre banque par exemple.

Il est aussi à relever qu’outre les correctifs, des outils de diagnostic sont également disponibles, comme le site Filippo.io/heartbleed qui permet de tester si un site est vulnérable ou non à Heartbleed.

Pour finir, s’il est habituel de changer son mot de passe lors d’un problème de sécurité, ce n’est pas nécessaire dans ce cas, sauf si le site vous le demande expressément. En effet, changer son mot de passe alors que le site n’a pas été patché signifie simplement que votre nouveau mot de passe pourrait tout autant être connu des pirates que le précédent.

Que sait-on de « Heartbleed », l'inquiétante faille de sécurité sur Internet ?
Que sait-on de « Heartbleed », l’inquiétante faille de sécurité sur Internet ?
Laisser un commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Quitter la version mobile