Importante faille dans un logiciel utilisé par la moitié des sites internet
Des spécialistes informatiques ont mis en garde ce mardi contre une importante faille dans un logiciel d’encodage utilisé par la moitié des sites internet, qui permet aux pirates de pénétrer dans les ordinateurs pour y récupérer codes et mots de passe.
La faille, découverte par un informaticien de Google, a été baptisée « Heartbleed » ( coeur qui saigne) parce qu’elle touche au coeur du logiciel OpenSSL, qui est utilisé pour protéger ses mots de passe, ses numéros de carte bancaire ou d’autres données sur internet.
Il est utilisé par la moitié des sites web, mais la faille n’existe pas sur toutes les versions.
[quote]Par cette faille, les pirates peuvent récupérer des informations en passant par la mémoire des serveurs de l’ordinateur, indique des spécialistes de la société de sécurité informatique Fox-IT dans un billet.
Le nombre d’attaques qu’ils peuvent effectuer est sans limites, indique Fox-It dans un billet recensant les procédures à suivre pour repousser les incursions.[/quote]
Parmi les informations susceptibles d’êtres récupérées par les pirates figurent le code source (instructions pour le microprocesseur), les mots de passe, et les clés utilisées pour déverrouiller des données cryptées ou imiter un site.
[quote]Ce sont les joyaux de la couronne, les clés d’encodage elles-mêmes, souligne le site heartbleed.com qui détaille les vulnérabilités de la faille.[/quote]
Ces clés permettent aux pirates de décrypter tous les trafics, passés et à venir, vers les services protégés et d’imiter ces services.
Grâce à cette faille, des chercheurs en sécurité informatique ont rapporté avoir été capables de récupérer des informations de mots de passe de Yahoo!, qui a précisé avoir pu résoudre le problème.
Cette faille existe depuis deux ans environ.
Un billet sur le site Tor Project, qui milite pour l’anonymat en ligne, exhorte ceux qui ont des besoins élevés en matière de protection en ligne d’éviter d’utiliser internet pendant quelques jours, afin de permettre aux sites et aux serveurs d’améliorer leur sécurité.
Le site http://filippo.io/Heartbleed/ permet de tester si un site est vulnérable ou non.
Edit 11.4.2014:
500.000 sites étaient concernés par la faille de sécurité informatique nommé Heartbleed, un programmeur allemand s’est dénoncé et a avoué avoir voulu corriger quelques bugs il y a deux ans, oubliant au passage de valider une variable.
Lire l’ article Robin Seggelmann, l’homme par qui l’énorme faille Heartbleed est arrivée