Digg StumbleUpon LinkedIn YouTube Flickr Facebook Twitter RSS Reset

«Heartbleed», cette faille de sécurité qui fait saigner le Web

INTERNET – Un problème sur les protocoles utilisés pour protéger le trafic a été corrigé en urgence, mais la mise à jour doit encore être déployée partout…

Alors que le monde avait les yeux tournés vers Windows XP, l’apocalypse a bien failli venir d’une technologie bien moins connue du grand public: OpenSSL, un protocole largement utilisé en ligne pour crypter le trafic Web. Mais si le pire a été évité, la prudence reste de mise.

OpenSSL, c’est quoi?

Vous voyez ce petit cadenas, accompagné de «https», à gauche d’une adresse Web, par exemple sur Yahoo.fr? Cela signifie que le trafic échangé entre votre PC et le serveur est crypté, notamment pour protéger des informations confidentielles comme un mot de passe ou un numéro de carte bancaire. OpenSSL est une technologie open source utilisée par de nombreux sites pour implémenter les deux protocoles de cryptage les plus communs, SSL et TLS.

Qu’est-ce qui saigne?

Le bug a été baptisé «heartbleed» (cœur qui saigne) par ceux qui l’ont découvert, des chercheurs finlandais de Codenomicon et une équipe de Google Security. Il s’agit d’un défaut de conception qui permet à une personne tierce de récupérer des données. A la base, la requête «heartbeat» vérifie que la connexion avec un serveur est encore active, comme une sorte de «ping». Mais en ajoutant des paramètres, au lieu de répondre un simple «pong», le serveur crache des données stockées dans sa mémoire vive: login, mot de passe, numéro de carte bleue etc. Pire, les clés de cryptage utilisées par le site peuvent même être obtenues. Heureusement, un hacker mal intentionné pêche en aveugle et il doit effectuer de nombreuses requêtes pour obtenir quelque chose d’intéressant.

Combien de sites sont concernés?

Beaucoup. Selon les experts, plus de deux tiers des serveurs Web utilisent OpenSSL, notamment ceux sous Apache ou Nginx. La faille ne touche cependant qu’une version récente, de 2011. Selon Netcraft, au moins un (…) Lire la suite sur 20minutes.fr

Secrétaire d’État au numérique: Axelle Lemaire pressentie pour succéder à Fleur Pellerin
Faites des lumières avec holî, la lampe connectée aux smartphones
Tetris a été téléchargé 425 millions de fois sur téléphones portables
Twitter s’offre la start-up Cover
Recevez toute l’actu de 20minutes.fr par email

----------------------------------------------------------------------------