Heartbleed Frappe les services canadiens – 5 choses à savoir – Newstech.ca

Heartbleed Frappe les services canadiens – 5 choses à savoir

virusInternet est en crise. Une importante vulnérabilité de la boîte à outils OpenSSL permet aux pirates d’accéder facilement aux renseignements qui passent par un serveur et d’avoir accès à des données importantes, comme des noms d’utilisateur et des mots de passe. Voici cinq choses à savoir sur la vulnérabilité CVE-2014-0160, mieux connue sous le nom de Heartbleed.

Heartbleed permet aux pirates de « pêcher » des renseignements dans la mémoire des serveurs

Heartbleed touche la boîte à outils OpenSSL, qui protège des millions de sites web à l’aide des protocoles SSL et TSL. En profitant de la vulnérabilité, un pirate peut accéder à 64 Ko dans la mémoire d’un serveur. C’est peu, mais c’est quand même suffisant pour obtenir des mots de passe, des clés cryptographiques et autres. Surtout qu’il est possible de « pêcher » dans la mémoire aussi souvent qu’on le veut.

Hier, le développeur Scott Galloway aurait notamment été capable d’obtenir plus de 200 noms d’utilisateur et mots de passe du service de courriel Yahoo en seulement cinq minutes.

Plusieurs sites importants sont compromis

OpenSSL est utilisé par plusieurs sites importants, comme Yahoo, et même celui de l’Agence du revenu du Canada, qui a d’ailleurs suspendu ses services en ligne ce matin, en attendant de corriger la faille.

Notons toutefois que ce problème ne nuit pas à une bonne partie des sites grand public courants, comme Gmail, Facebook (qui ont corrigé la vulnérabilité avant qu’elle soit annoncée) et Outlook.com. Certains articles mentionnent que les deux tiers de tous les sites web seraient affectés par le bogue, mais ce n’est pas tout à fait exact. Selon une estimation plus réaliste de la firme Netcraft, environ 500 000 sites seraient touchés par la vulnérabilité.

Un correctif existe contre Heartbleed

Un correctif existe pour corriger la faille Heartbleed, et celui-ci a déjà été appliqué dans de nombreux cas. Certains administrateurs pourraient attendre un peu plus avant de réagir, mais vu l’importance de la faille, la communauté devrait répliquer sans tarder.

Yahoo, l’un des sites les plus importants affectés par Heartbleed, a par exemple colmaté la fuite après son annonce, et n’est plus affecté par le bogue.

Il est impossible de savoir si la vulnérabilité a été exploitée ou non

La vulnérabilité dévoilée cette semaine existe depuis deux ans. Et malheureusement, il n’y a aucun moyen de vérifier si quelqu’un en a profité pendant cette période. Les renseignements personnels de certains utilisateurs pourraient donc déjà avoir été copiés, mais il est impossible de s’en assurer.

L’utilisateur moyen est plus ou moins impuissant contre Heartbleed

Malheureusement, il n’y a pas grand-chose à faire contre Heartbleed à l’heure actuelle. Un outil existe bel et bien pour savoir si un site est vulnérable, mais celui-ci n’indique pas si la faille a été présente sur un site au cours des deux dernières années.

En attendant, le projet Tor propose une solution radicale : éviter Internet au grand complet pendant quelques jours si vous avez des renseignements d’une importance cruciales à protéger.

Il pourrait aussi être une bonne idée de changer son nom d’utilisateur et son mot de passe sur les sites qui ont été touchés par la faille, comme Yahoo. Certains sites qui ont été vulnérables, comme IFTTT ont d’ailleurs déjà demandé à leurs utilisateurs de mettre leurs mots de passe à jour. D’autres compagnies, comme Google, affirment que ce n’est pas nécessaire. Mais un excès de prudence n’a jamais nui à personne non plus.

 

Source: Blogue de Radio-Canada

Share This: