Récemment, une faille de sécurité du logiciel OpenSSL baptisée Heartbleed (angl. "Cœur qui saigne") a été décelée. La sécurité des données est donc remise en question, surtout en ce qui concerne les transactions sécurisées sur le web. Mais que se cache-t-il exactement derrière ce problème ? Quelles sont les conséquences de cette faille ?
Image parue suite à la découverte de la faille de sécurité Heartbleed
Comment les connexion sécurisées sur Internet fonctionnent-elles ?
Les navigateurs Internet et les serveurs Web communiquent les uns avec les autres via un protocole (un langage) sécurisé au moyen d’un chiffrement très puissant et très souple. Vous savez que vous disposez d’une connexion sécurisée si l’adresse (URL) affichée dans la barre du navigateur commence par « https://monsite.com» au lieu de « http:// monsite.com» (« s » pour sécurisé).
Qu’est-ce-que le logiciel OpenSSL ?
OpenSSL est un logiciel libre installé sur de nombreux serveurs afin d’établir des connexions chiffrées sécurisées entre les sites web et les utilisateurs. L'utilisation d'un certificat SSL est facilement identifiable sur n’importe quel site web : vous distinguerez la présence d’un cadenas sur une interface de paiement en ligne, ou encore l’URL d’un site web commencera par https.
Quelles sont les conséquences de cette faille ?
Le bug Heartbleed permettrait en théorie, aux pirates informatiques, de pouvoir récupérer des informations personnelles des internautes, comme leurs mots de passe ou leurs coordonnées bancaires. L’alerte mondiale a été donnée le 7 avril et précise que ce bug serait présent dans toutes les versions des logiciels OpenSSL sortis depuis mars 2012 et que le piratage de données par des personnes malveillantes ne laissait aucune trace.
Et après ?
De nombreux sites web ont fait une mise à jour pour corriger cette faille de sécurité. Les utilisateurs de ces sites sont donc fortement invités à changer leurs accès de connexion (identifiants et mots de passe) qui ont pu se retrouver entre les mains de personnes tierces. Le protocole SSL est utilisé par un très grand nombre de sites web et de services en ligne, de grands noms comme Facebook, Google, ou encore Twitter sont concernés par cette faille et déclarent avoir mis à jour leurs systèmes de sécurité, mais invitent toutefois leurs utilisateurs à changer leurs mots de passe, pour plus de précautions.
Des tests sur un serveur vulnérable ont permi d'exploiter Heartbleed afin de récupérer la clef privée d’un serveur. Cette récupération se traduit par des centaines de milliers ou des millions de requêtes émanant de quelques adresses IP. Mais la récupération de couples login / mots de passe peut, elle, se faire via quelques requêtes seulement.
Et votre site web ?
Artionet souhaite rassurer ses clients et certifie qu’aucun des sites gérés par notre agence n’a fait l’objet de cette faille, car nous n’utilisons pas le logiciel OpenSSL tout simplement. En revanche, cet événement peut être pour vous l’occasion de renforcer la sécurité de vos différents mots de passe et de les changer si vous estimez qu’ils ne sont pas assez forts pour résister à un quelconque piratage. Consultez notre article dédié à la sécurité des mots de passe et comment les choisir.
