Une erreur de programmation a permis durant deux ans d’accéder à des informations personnelles sur des sites Internet de banques, d’e-commerce et des réseaux sociaux. L’impact de cette vulnérabilité est encore dur à mesurer.

Une «catastrophe», le «cauchemar ultime», la «faille de la décennie». Depuis la découverte d’une faille de majeure sur Internet il y a tout juste une semaine, c’est l’affolement général parmi les experts en sécurité informatique et les responsables de sites Web. Heartbleed n’est en effet pas une vulnérabilité comme les autres.

• Heartbleed, c’est quoi?

Il s’agit d’une faille qui frappe le cœur de la sécurisation des échanges sur Internet. Le protocole Transport Layer Security (TLS) garantit que des données échangées entre le navigateur et un site Web ne pourront pas être facilement lisibles par des pirates, car chiffrées. Les navigateurs Internet signalent ces connexions sécurisées par une petite icône de cadenas, tandis que les adresses des sites passent de «http» à «https».

L’une des implémentations gratuite de ce protocole parmi les plus populaires, OpenSSL, a été victime d’une erreur de programmation. Alors qu’il pensait améliorer cette librairie, un développeur allemand, Robin Seggelmann
,a introduit une vulnérabilité dans le code d’OpenSSL en décembre 2011. La version défectueuse a été diffusée à partir de mars 2012. À partir de cette version, tous les serveurs Web recourant à OpenSSL pour sécuriser leurs échanges laissaient en fait sans le savoir leurs portes grandes ouvertes.

La vulnérabilité est localisée dans une fonction, appelée Heartbeat, qui permet de maintenir la connexion sécurisée entre le navigateur et le serveur Web. À cause de l’erreur de Robin Seggelmann, un pirate peut mentir sur le poids de la (…) Lire la suite sur Figaro.fr

Inscrivez-vous à la newsletter du Figaro