 |
Img/DR/20Minutes |
Alors que le monde avait les yeux tournés vers Windows XP, l’apocalypse a bien failli venir d’une technologie bien moins connue du grand public: OpenSSL, un protocole largement utilisé en ligne pour crypter le trafic Web. Mais si le pire a été évité, la prudence reste de mise.
OpenSSL, c’est quoi?
Vous voyez ce petit cadenas, accompagné de «https», à gauche d’une adresse Web, par exemple sur Yahoo.fr? Cela signifie que le trafic échangé entre votre PC et le serveur est crypté, notamment pour protéger des informations confidentielles comme un mot de passe ou un numéro de carte bancaire. OpenSSL est une technologie open source utilisée par de nombreux sites pour implémenter les deux protocoles de cryptage les plus communs, SSL et TLS.
Qu’est-ce qui saigne?
Le bug a été baptisé «heartbleed» (cœur qui saigne) par ceux qui l’ont découvert, des chercheurs finlandais de Codenomicon et une équipe de Google Security. Il s’agit d’un défaut de conception qui permet à une personne tierce de récupérer des données.
A la base, la requête «heartbeat» vérifie que la connexion avec un serveur est encore active, comme une sorte de «ping». Mais en ajoutant des paramètres, au lieu de répondre un simple «pong», le serveur crache des données stockées dans sa mémoire vive: login, mot de passe, numéro de carte bleue etc. Pire, les clés de cryptage utilisées par le site peuvent même être obtenues. Heureusement, un hacker mal intentionné pêche en aveugle et il doit effectuer de nombreuses requêtes pour obtenir quelque chose d’intéressant.
Combien de sites sont concernés?
Beaucoup. Selon les experts, plus de deux tiers des serveurs Web utilisent OpenSSL, notamment ceux sous Apache ou Nginx. La faille ne touche cependant qu’une version récente, de 2011. Selon Netcraft, au moins un demi-million de sites sont touchés. Il semble que Google, Facebook, Microsoft, Twitter, Amazon ou Dropbox n’aient pas été concernés (ou qu’ils aient bouché la faille avant l’annonce publique). Les sites de Yahoo, Imgur, OkCupid, KickAss Torrent et du FBI, en revanche, étaient vulnérables.
Le problème corrigé, la mise à jour en cours de déploiement
Les chercheurs ont travaillé avec OpenSSL, et un patch a été déployé lundi soir. Les administrateurs Web doivent mettre à jour leur serveur à la dernière version (OpenSSL 1.0.1g). Certains géants du Net, comme les aiguilleurs de trafic Akamai et CloudFlare, ont visiblement été prévenus en avance et l’ont déjà fait. D’autres, comme Yahoo, l’ont découvert mardi matin et ont updaté leurs systèmes en urgence.
Potentiellement, un problème de long terme
Il y a deux problèmes. D’abord, on ne sait pas si la faille a été exploitée avant qu’elle ne soit rendue publique. Surtout, un site n’a aucun moyen de savoir si ses serveurs ont «saigné» des données par le passé. Selon l’expert en sécurité Michael Kreps, si des hackers ont réussi à dérober des clés de cryptage, ils pourront les utiliser plus tard. Pour protéger ses utilisateurs, un site doit déposer de nouvelles clés et renouveler son certificat de sécurité, ce qui coûte souvent de l’argent.
Que faire pour l’utilisateur?……..
[...]
Auteur Philippe Berry pour 20Minutes
Le National Emancipé 2014
Aucun commentaire:
Enregistrer un commentaire