Ouvrir

À suivre

Rendez-vous

Rejouer


LES DERNIÈRES ÉMISSIONS

UN ŒIL SUR LES MÉDIAS

Gaza: les larmes d'un responsable de l'ONU

En savoir plus

DÉBAT

"Fonds vautours" en Argentine : et après le défaut de paiement ?

En savoir plus

DÉBAT

Boko Haram : une menace incontrôlable ?

En savoir plus

L'INVITÉ DE L'ÉCO

Quelle diplomatie économique pour la France ? Avec Hubert Védrine et Pascal Lamy

En savoir plus

JOURNAL DE L’AFRIQUE

Guinée : cohue meurtrière lors d'un concert à Conakry

En savoir plus

JOURNAL DE L’AFRIQUE

Crash du vol AH5017 : Hommage à 2 cinéastes disparus

En savoir plus

FOCUS

Birmanie : la transition démocratique piétine

En savoir plus

UN ŒIL SUR LES MÉDIAS

Les people et le conflit israélo-palestinien

En savoir plus

L'ENTRETIEN

Matshidiso Moeti, ancienne Directrice régionale adjointe de l'OMS pour l'Afrique

En savoir plus

  • Gaza : début d'une trêve de trois jours, des négociations prévues en Égypte

    En savoir plus

  • Carte : l’opération Barkhane de l’armée française au Sahel

    En savoir plus

  • Lourd bilan après une série d’explosions dues au gaz à Taïwan

    En savoir plus

  • En images : rassemblement pro-Israël à Paris sous haute protection policière

    En savoir plus

  • Devant les juges, Karim Wade se considère "prisonnier politique"

    En savoir plus

  • Free veut racheter T-mobile, poids lourd de la téléphonie américaine

    En savoir plus

  • Ebola : l’OMS débloque 100 millions de dollars

    En savoir plus

  • Gaza : un responsable de l'ONU fond en larmes en direct

    En savoir plus

  • Royaume-Uni : HSBC ferme les comptes de plusieurs clients musulmans

    En savoir plus

  • Ils ont fait plier l'Argentine : qui sont ces fonds "vautours" ?

    En savoir plus

  • La dissolution de la Ligue de défense juive à l’étude

    En savoir plus

  • Israël mobilise de nouveaux réservistes et obtient des munitions américaines

    En savoir plus

  • Avec "Lucy", Luc Besson domine le box-office américain

    En savoir plus

  • MH17 : les enquêteurs de l'OSCE accèdent au site du crash

    En savoir plus

  • Vidéo : reportage au cœur des tunnels creusés par le Hamas à Gaza

    En savoir plus

  • La clôture frontalière, nouvelle pomme de discorde entre le Maroc et l’Algérie

    En savoir plus

  • Moscou condamné à verser 1,86 milliard d'euros aux ex-actionnaires de Ioukos

    En savoir plus

Economie

Le bug qui incite le monde entier à changer ses mots de passe

© thinkstockphotos.fr

Texte par Sébastian SEIBT

Dernière modification : 10/04/2014

Il s’appelle Heartbleed et c’est un bug informatique qui a, durant deux ans, laissé à la portée du premier cybercriminel venu des données sensibles stockées sur la grande majorité des sites pourtant dits sécurisés.

Le Canada a décidé, mercredi 9 avril, de suspendre la possibilité de déclarer ses revenus en ligne. Cette mesure illustre la panique qui s’est emparée du Net depuis la découverte, lundi 7 avril, d’une faille de sécurité à même de mettre à nu tous les internautes ayant partagé des données confidentielles avec un site soi-disant sûr, comme celui des impôts canadiens.

Depuis le début de la semaine, le petit cadenas dans la barre d’adresse d’un site, censé indiquer que l’on est en terrain sécurisé, a perdu une grande partie de sa crédibilité. C’est tout le problème du bug, baptisé "Heartbleed", au cœur de ce nouveau scandale mis à jour par Codenomicon, une société de sécurité informatique, et une équipe de chercheurs de Google. Les développeurs de l’OpenSSL, l'outil mis en cause, ont reconnu que plusieurs de ses versions étaient défaillantes.

Environ 75 % des sites internet - dont Gmail, Yahoo, les impôts canadiens ou encore Tumblr (populaire site de blogging) - utilisent pour crypter les communications entre leur serveur et les internautes un outil de chiffrement des données, appelé OpenSSL. Or depuis deux ans, cette bibliothèque de cryptage avait une énorme faille. “C’est potentiellement très grave car l’OpenSSL est utilisé par la plupart des sites bancaires, des messageries électroniques ou des plateformes de discussion en ligne”, précise Jean-François Beuze, fondateur de la société française de sécurité informatique Sifaris.

Surtout, pas besoin d’être particulièrement à la pointe de l’informatique pour exploiter le bug. Il suffit d’envoyer un message informatique sous forme de “bip”, variante de la requête classique “heartbeat” qui vérifie l’état de la connexion à un site protégé, pour avoir accès aux données stockées dans la mémoire du serveur. Pour schématiser, c’est un peu comme si un cambrioleur venait frapper à la porte d’une maison pour savoir si quelqu’un était là et qu’au lieu de répondre, le propriétaire venait ouvrir et remettait au voleur les bijoux de la famille.

Bug corrigé, problème pas encore réglé

“C’est une faille gigantesque qui permet à quelqu’un qui la connaissait d’aller récupérer sans problème des numéros de cartes de crédit, des identifiants de boîtes de messageries, ou de réseaux sociaux et même les clefs de chiffrement utilisés par les sites qu’on pensait jusqu’à présent sécurisés”, explique Jean-François Dufour. Devant l’ampleur du problème, les experts en informatique exhortent ces derniers jours les internautes à changer leurs principaux mots de passe.

Ils peuvent difficilement être plus précis : “personne ne sait si des cybercriminels ont déjà exploité cette faille, et quels sont les sites compromis, car le ‘bip’ utilisé pour forcer la serrure du OpenSSL ne laisse pas de traces distinctifs”, explique Jean-François Dufour. En clair, pas la peine de se plaindre auprès de sa banque si quelqu’un utilise dans quelques mois un numéro de compte volé grâce à “Heartbleed” car la banque n’y est pour rien et ne pouvait pas savoir. C’est peut-être l’aspect le plus inquiétant : on ne sait pas qui a été victime, si même il y a eu des victimes, et il n’y a aucun moyen de le savoir.

Certes, la plupart des sites potentiellement affectés ont appliqué - ou sont en train de le faire - la nouvelle mise à jour d’OpenSSL pour arrêter l’hémorragie de données. Mais ça ne règle qu’une partie du problème. Certes, les cybercriminels ne peuvent plus entrer sans frapper. Mais, des clefs de chiffrement tout à fait valables sont peut-être encore dans la nature après avoir été dérobées grâce à ce bug. Avec elles, les pirates informatiques peuvent lire en clair et en direct les données échangées entre un internaute et un site. La page du scandale “Heartbleed” ne sera, donc, définitivement tournée une fois que toutes ces clefs de chiffrement auront été renouvelées, ce qui coûte de l’argent et prend du temps.

Première publication : 10/04/2014

  • INTERNET

    Quand les pirates informatiques sortent la "Grosse Bertha"

    En savoir plus

  • INTERNET

    Le réfrigérateur connecté, nouvelle cible des pirates informatiques

    En savoir plus

  • CYBERSÉCURITÉ

    Aux États-Unis, le hold-up numérique du siècle

    En savoir plus

COMMENTAIRE(S)