À cause de Heartbleed, tout le net est en ébullition. Concrètement, Heartbleed est une faille de sécurité qui touche l’application OpenSSL, un logiciel qui est utilisé pour sécuriser de très nombreux sites internet, d’où l’effervescence actuelle.
Le logiciel OpenSSL est utilisé par de très nombreux sites internet dans le monde pour sécuriser les données échangées sur le net, notamment les mots de passe, les numéros de carte bancaire, etc., c’est typiquement cette application qui fait affiché le petit cadenas de sécurité dans votre navigateur. Malheureusement pour lui, et pour la sécurité du web, l’existence d’une faille critique a été publiée le mardi 8 avril.
Baptisée Heartbleed (cœur qui saigne), cette faille de sécurité permettrait à des pirates de récupérer des informations dans la mémoire des serveurs vulnérables, de pouvoir accéder aux données sensibles, mais aussi de compromettre les certificats en interceptant la clé. Selon plusieurs experts qui ont évalué cette faille, « ses possibilités sont sans limites ! ».
Alors que la portée et l’exploitation éventuelle de cette faille sont encore floues, sa portée est telle qu’elle été qualifiée de majeure et de critique.
Alors que cette faille met en péril une bonne partie de la sécurité du web, les internautes ne peuvent pas y faire grand-chose, vu qu’elle se situe sur les serveurs. C’est donc aux administrateurs système de patcher au plus vite l’application. Si les grands groupes ont d’ailleurs déjà déployé des correctifs, de nombreux sites doivent encore être mis à jour. En tant qu’utilisateur, la patience et la prudence sont de mise, notamment vis-à-vis des mails suspects qui pourraient arriver. En effet, des pirates auraient très bien pu exploiter cette faille au point de revenir vers vous pour vous soutirer d’autres informations, une attaque phishing typique. Donc prudence vis-à-vis de tous les mails en provenance de votre banque par exemple.
Il est aussi à relever qu’outre les correctifs, des outils de diagnostic sont également disponibles, comme le site Filippo.io/heartbleed qui permet de tester si un site est vulnérable ou non à Heartbleed.
Pour finir, s’il est habituel de changer son mot de passe lors d’un problème de sécurité, ce n’est pas nécessaire dans ce cas, sauf si le site vous le demande expressément. En effet, changer son mot de passe alors que le site n’a pas été patché signifie simplement que votre nouveau mot de passe pourrait tout autant être connu des pirates que le précédent.
Si cet article a captivé votre intérêt, vous trouverez certainement les prochains tout aussi passionnants. Assurez-vous de ne rien manquer en vous abonnant à linformatique.org sur Google News. Suivez-nous aussi sur Facebook et Twitter.