Le bug Heartbleed une sérieuse menace à la sécurité Internet

Le bug Heartbleed une sérieuse menace à la sécurité Internet

10 avril 2014

 

Environ un demi-million de sites dans le monde largement actifs et de confiance sont vulnérables au bug Heartbleed, une faiblesse de logiciel qui compromet la transmission de l’information, en dépit de la protection offerte par les techniques de cryptage.

 

Cette vulnérabilité est grave car elle frappe au cœur de la sécurité Internet.

 

Parmi les grands noms de confiance de sites concernés Yahoo! qui compte plus de 800 millions d’utilisateurs dans le monde entier.

 

Heartbleed découle d’une erreur de programmation dans le logiciel SSL (Secure Sockets Layer). Elle est l’une des plus graves et met en danger les communications SSL cryptées.
SSL est utilisée par différents systèmes d’exploitation, des logiciels de serveurs Web, des navigateurs, des applications mobiles et même dans des hardwares et des systèmes embarqués pour crypter et décrypter les données sensibles.

 

Les pirates peuvent exploiter cette vulnérabilité pour voler des informations au niveau des serveurs utilisant OpenSSL versions 1.0.1. qui est utilisé pour crypter et décrypter les données sensibles.

 

Ces informations peuvent inclure des données confidentielles telles que les mots de passe, les clés de session TLS et les clés privées de serveur pour le long terme qui permettent le décryptage passé et surtout futur du trafic SSL capturé à partir d’un serveur.

 

L’Agence Nationale de Sécurité américaine (NSA) était au courant de la faille depuis au moins deux ans et l’a certainement exploitée pour recueillir des renseignements.

 

En ce qui concerne notre pays, l’Algérie, les questions suivantes se posent pour les hébergeurs et propriétaires de sites :

  • Est-ce que cette vulnérabilité est déjà exploitée par des pirates?
  • Quel est son impact sur les systèmes?
  • Les hébergeurs vont-ils informer leurs clients de cette menace?
  • Les hébergeurs vont-ils expliquer à leurs clients s’ils sont vulnérables ou non?
  • Les hébergeurs vont-ils suggérer aux clients les éléments d’une stratégie pour sécuriser et remédier (patcher) à la menace bug Heartbleed?