INTERNET Un probleme i  propos des protocoles utilises Afin de proteger le trafic fut corrige en urgence, mais la mise a jour doit encore etre deployee partout.

Alors que le monde avait les yeux tournes par Windows XP, l’apocalypse a bien failli venir de la technologie beaucoup moins connue du grand public: OpenSSL, votre protocole largement utilise en ligne pour crypter le trafic Web. Mais si le pire fut evite, la prudence est de mise.

OpenSSL, c’est quoi?

Vous voyez ce petit cadenas, accompagne de «https», a gauche de la adresse Web, par exemple sur Yahoo.fr? Cela signifie que le trafic echange entre votre PC et le serveur reste crypte, notamment pour couvrir des precisions confidentielles comme un mot de passe ou un numero de carte bancaire. OpenSSL reste une technologie open source utilisee par de multiples sites Afin de implementer nos deux protocoles de cryptage des plus communs, SSL et TLS.

Qu’est-ce qui saigne?

Le bug fut baptise «heartbleed» (c?ur qui saigne) par ceux qui l’ont trouve, des chercheurs finlandais de Codenomicon et une equipe de Google Security. Cela s’agit tout d’un defaut de conception qui permet a un individu tierce de recuperer des donnees. A votre base, la requete «heartbeat» verifie que la connexion avec votre serveur sera alors active, comme une sorte de «ping». Mais en ajoutant des parametres, i  la place de repondre un simple «pong», le serveur crache des informations stockees dans sa memoire vive: login, mot de passe, numero de carte bleue etc. Pire, les cles de cryptage utilisees par la page vont pouvoir meme etre obtenues. Selon l’expert Bruce Schneier, la faille est «catastrophique».

Combien de blogs paraissent concernes?

Beaucoup. Par rapport tinychat aux experts, environ deux tiers des serveurs Web utilisent OpenSSL, notamment ceux sous Apache ou Nginx. Notre faille ne concerne cependant qu’une version recente, de 2011. Selon Netcraft, bien un demi-million de sites seront touches. Il semble que Google, Facebook, Microsoft, Twitter, Amazon ou Dropbox n’aient pas ete concernes (ou qu’ils aient bouche la faille avant l’annonce publique). Les sites de Yahoo, Imgur, OkCupid, KickAss Torrent et du FBI, en revanche, etaient vulnerables.

Le probleme corrige, la mise a jour en cours de deploiement

Mes chercheurs ont travaille avec OpenSSL, et un patch fut deploye lundi apri?m. Mes administrateurs Web doivent mettre a jour un serveur a la derniere version (OpenSSL 1.0.1g). Quelques geants du Net, comme les aiguilleurs de trafic Akamai et CloudFlare, ont i  priori ete prevenus en avance et l’ont deja fait. D’autres, comme Yahoo, l’ont decouvert jeudi matin et ont update leurs systemes en urgence.

Potentiellement, 1 probleme de long terme

On voit 2 problemes. D’abord, on ne sait nullement si la faille a ete exploitee avant qu’elle ne soit rendue publique. Surtout, un site n’a aucun moyen de savoir si ses serveurs ont «saigne» des donnees par le passe. Selon l’expert en securite Michael Kreps, si des hackers ont reussi a derober des cles de cryptage, ils pourront les se servir de plus tard. Pour abriter ses utilisateurs, un blog devra deposer de nouvelles cles et renouveler son certificat de securite, et cela coute souvent de l’argent.

Que Realiser pour l’utilisateur?

Pas grand chose. Le reseau TOR, qui permet de surfer anonymement, conseille a ses utilisateurs «de ne pas se servir de Internet pendant deux jours», moyen que le patch soit applique partout. Cet outil permet d’essayer si un blog reste vulnerable, mais il ne marche gui?re Afin de l’ensemble de. En cas de resultat positif, il ne va falloir surtout jamais rentrer ses informations de connexion. C’est enfin probable que en prochains temps, des geants comme Yahoo conseillent de reinitialiser le mot de passe. Selon certains experts, plus coi»te attendre 48h, De sorte i  ne pas rentrer votre nouveau commentaire de passe via un site encore non patche.