Digg StumbleUpon LinkedIn YouTube Flickr Facebook Twitter RSS Reset

«Heartbleed», cette faille de sécurité «catastrophique» qui fait saigner le Web

INTERNET – Un problème sur les protocoles utilisés pour protéger le trafic a été corrigé en urgence, mais la mise à jour doit encore être déployée partout…

Alors que le monde avait les yeux tournés vers Windows XP, l’apocalypse a bien failli venir d’une technologie bien moins connue du grand public: OpenSSL, un protocole largement utilisé en ligne pour crypter le trafic Web. Mais si le pire a été évité, la prudence reste de mise.

OpenSSL, c’est quoi?

Vous voyez ce petit cadenas, accompagné de «https», à gauche d’une adresse Web, par exemple sur Yahoo.fr? Cela signifie que le trafic échangé entre votre PC et le serveur est crypté, notamment pour protéger des informations confidentielles comme un mot de passe ou un numéro de carte bancaire. OpenSSL est une technologie open source utilisée par de nombreux sites pour implémenter les deux protocoles de cryptage les plus communs, SSL et TLS.

Qu’est-ce qui saigne?

Le bug a été baptisé «heartbleed» (cœur qui saigne) par ceux qui l’ont découvert, des chercheurs finlandais de Codenomicon et une équipe de Google Security. Il s’agit d’un défaut de conception qui permet à une personne tierce de récupérer des données. A la base, la requête «heartbeat» vérifie que la connexion avec un serveur est encore active, comme une sorte de «ping». Mais en ajoutant des paramètres, au lieu de répondre un simple «pong», le serveur crache des données stockées dans sa mémoire vive: login, mot de passe, numéro de carte bleue etc. Pire, les clés de cryptage utilisées par le site peuvent même être obtenues. Selon l’expert Bruce Schneier, la faille est «catastrophique».

Combien de sites sont concernés?

Beaucoup. Selon les experts, plus de deux tiers des serveurs Web utilisent OpenSSL, notamment ceux sous Apache ou Nginx. La faille ne concerne cependant qu’une version récente, de 2011. Selon Netcraft, au moins un demi-million de sites sont touchés. Il semble que Google, Facebook, Microsoft, (…) Lire la suite sur 20minutes.fr

VIDEO. «Borderlands: The Pre-Sequel» annoncé pour l’automne… Un «Star Wars» avec Dark Maul passé à la trappe…
«Heartbleed»: Comment vous protégez-vous sur Internet?
Stockage de données: Un chercheur d’IBM remporte le «Nobel de technologie»
L’explosion des données numériques portée par l’Internet des objets
Recevez toute l’actu de 20minutes.fr par email

----------------------------------------------------------------------------