Heartbleed : une faille majeure de sécurité découverte sur le Web | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Heartbleed : une faille majeure de sécurité découverte sur le Web
©

Alerte !

Heartbleed : une faille majeure de sécurité découverte sur le Web

La faille, baptisée "Heartbleed", affecte un logiciel d'encodage utilisé par un très grand nombre de sites internet. Les entreprises doivent aujourd'hui vérifier si leurs serveurs utilisaient une version vulnérable du logiciel OpenSSL.

Des chercheurs de Google et d'une petite entreprise de sécurité informatique Codenomicon ont signalé ce mardi l'existence d'une des plus graves failles de sécurité découvertes depuis des années. Cette faille, surnommée "Heartbleed", affecte un logiciel d'encodage utilisé par un très grand nombre de sites internet. Le département américain du Homeland Security a donc conseillé à toutes les entreprises de vérifier si leurs serveurs utilisaient une version vulnérable du logiciel OpenSSL. Sa mise à jour, réparant la faille de sécurité, est déjà disponible.

Heartbleed existe depuis deux ans environ. Elle permet à des pirates informatiques d'avoir accès à des données sensibles, dont des mots de passe ou des codes secrets, en passant par la mémoire des serveurs. En deux ans d’existence à l’insu de tous, il est donc tout à fait possible que des personnes mal intentionnées aient découvert le bug et l’aient exploité (ayant donc accès à certaines informations de compte ou profils des internautes). Il n’y a cependant pour l’heure aucune preuve que cela ait été le cas.

Chris Eng, vice-président du département recherches chez Veracode, société de sécurité informatique, a précisé que des centaines de milliers de serveurs internet partout dans le monde devaient être mis à jour dès que possible afin de les protéger contre d'éventuelles attaques. Un porte-parole de Yahoo! a par ailleurs reconnu que Yahoo! Mail présentait une vulnérabilité mais a précisé que le problème avait été réglé, ainsi que pour d'autres sites de la société comme Yahoo! Search, Finance, Sports, Flickr et Tumblr. Une liste non exhaustive des sites touchés est disponible sur Github: une adresse propose également de tester si un site est vulnérable ou non.

Comme le souligne Rue 89, l’internaute, lui, ne peut pas faire grand chose pour le moment. Tant que tout n’a pas été mis à jour, réparé, et les clefs de chiffrement réactualisées par les sites vulnérables, il ne servirait à rien de vouloir changer son mot de passe.

Lu sur Yahoo!

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !