Depuis la découverte du bug Heartbleed, une course contre la montre s'est engagée pour corriger cette vulnérabilité. Du côté des principaux services en ligne, des correctifs ont été déployés. Cependant, des interrogations demeurent. En outre, les usagers doivent aussi agir pour leur propre sécurité.

Baptisé Heartbleed ("cœur qui saigne") parce qu'il touche à la technologie qui permet de sécuriser les échanges entre son navigateur et différents services en ligne (sa banque, son webmail, son site de e-commerce, son réseau social…), le bug de la bibliothèque logicielle de cryptographie OpenSSL a fait couler beaucoup d'encre depuis le début de la semaine.

Repérée très récemment, cette faille est en réalité présente dans OpenSSL depuis deux ans. Cela signifie qu'une personne mal intentionnée ou une agence gouvernementale quelconque, si elle a eu connaissance de cette vulnérabilité, a pu récupérer des données confidentielles sur les serveurs ayant utilisé une version compromise d'OpenSSL.

En effet, cette brèche permet d'accéder à une partie de la mémoire du serveur-cible. En théorie, des identifiants et des mots de passe ont peut-être été aspirés, ainsi que des clés privées permettant de déchiffrer des communications. L'exploitation de cette vulnérabilité ne laissant manifestement pas de trace, toute machine qui a utilisé une version affaiblie d'OpenSSL doit être perçue comme compromise.

La situation des principaux services

Suite à la découverte d'Heartbleed il y a quatre jours, une course contre la montre a été engagée pour mettre à jour d'OpenSSL. Des services de première importance qui étaient affectés ont annoncé avoir corrigé la faille. C'est le cas de Facebook, Instagram, Pinterest, Tumblr, Google, Yahoo, Gmail, Yahoo Mail, Amazon Web Services, Dropbox, GitHub, SoundCloud et LastPass.

D'autres en revanche n'ont effectué aucun changement, dans la mesure où ils n'utilisaient pas la version d'OpenSSL en cause ou n'utilisaient tout simplement pas cette bibliothèque logicielle : LinkedIn, Apple, Amazon, Microsoft, AOL, Hotmail/Outlook, eBay, Groupon, PayPal, Evernote et 1Password. En revanche, la situation pour certains services est floue. C'est le cas de Hulu, WordPress, et Netflix.

Cette liste, maintenue par Mashable, ne couvre que des services anglophones, mais dont une partie est utilisée par les internautes français. Elle est basée sur un outil ad hoc proposé par LastPass ainsi que sur les informations obtenues par le site américain auprès des différentes équipes de presse de chaque entreprise. Mais quid des sites francophones, par exemple ?

Et la révocation des certificats ?

De façon générale, il convient de vérifier le site auquel vous souhaitez vous connecter en le testant sur Filippo.io/Heartbleed. Cela permet dans un premier temps de déterminer si le service en question est vulnérable actuellement. Le problème, c'est que ni Mashable ni Heartbleed n'indiquent si les certificats utilisés par les services compromis ont été révoqués.

Or, c'est une étape importante. En cas de suspicion de compromission, il faut en effet révoquer les certificats utilisés et générer de nouvelles clés de chiffrement pour ne courir aucun risque. C'est d'ailleurs ce que relève Lifehacker : beaucoup affirment que la vulnérabilité a été corrigée, sans toutefois préciser le statut de leur certificat. En la matière, il convient de solliciter le service pour en avoir le coeur net.

Si le principal effort se trouve du côté des serveurs, les usagers doivent également agir. Il est ainsi recommandé de se déconnecter / reconnecter des différentes plateformes qui auraient pu être vulnérables, afin d'avoir une connexion SSL à jour, puis de changer de mot de passe. Comme toujours, il convient d'en avoir un différent pour chaque service.

Partager sur les réseaux sociaux

Articles liés