Heartbleed-OpenSLL : Un protocole pas si sécurisé que ça !!!
Le mardi 8 avril, la découverte d’une faille de sécurité au sein même du protocole OpenSSL « Heartbleed » fait trembler le monde des échanges de données sensibles sur internet. Mais qu’en est-il vraiment ?
Qu’est ce que OpenSSL ? :
OpenSSL est un logiciel implanté sur la plupart des serveurs qui a pour but d’établir et de sécuriser les connexions entre les sites qu’ils hébergent et les internautes. C’est ce software qui, par exemple, permet l’échange de données bancaires en toute sécurité (en théorie…). On comprend donc aisément que la plupart des sites e-commerce font appellent à ce protocole, mais pas seulement.
En effet la plupart des données personnelles que nous utilisons couramment sur internet ( login, mot de passe, code bancaire, etc. ) sont cryptées et donc utilisent des protocoles de type SSL.
Quels sites l’utilisent ?
Dans les faits quasiment tous… En effet , à partir du moment où vous naviguez sur un site sur lequel vous vous êtes enregistrés, les données fournies au site ont forcement du être sauvegardées et donc cryptées. Ironie du sort, la plupart des grands sites institutionnels qui prônaient une sécurité absolue sont directement touchés : Apple, Mircosoft, Google. Mais cela concerne aussi et surtout les sites d’achat et de paiement en ligne tels que : Amazon, Fnac, Cdiscount… ainsi que tous les réseaux sociaux :Facebook,Twitter, Instagram…
L’utilisation de ce protocole est parfois symbolisée par l’icône en forme de cadenas et le HTTPS au début de l’URL.
Afin de vous donner une idée de l’ampleur du problème , sachez que deux serveurs sur trois utilisent actuellement ce protocole à travers le monde.
Qu’est ce que la faille OpenSSL ou Heartbleed?
La faille de sécurité au cœur du protocole OpenSSL rebaptisée depuis Heartbleed (en français ‘le cœur qui saigne’) permet aux pirates expérimentés de récupérer des données sensibles stockées dans le centre qui hébergent les sites.
« Ce sont les joyaux de la couronne, les clés de chiffrement elles-mêmes », souligne le site Heartbleed.com. Ces clés « permettent aux pirates de déchiffrer tous les trafics, passés et à venir, vers les services protégés et d’imiter ces services ».
De plus, il semblerait que les « Cookies » : fichiers qui gardent en mémoire certaines informations vous concernant, soient également affectées. En d’autres thermes, il est donc possible qu’une personne mal intentionnée puisse le cas échéant se connecter en votre nom.
Quelle solutions sont envisagées ?
À l’échelle locale, la solution utopique qui consisterait à se couper du web durant la tempête est envisageable bien que complètement inutile. En effet même si vous pouvez vous passer de Gmail, Facebook et de ne pas faire d’achat en ligne pendant cette sombre période, sachez que le mal est fait et que vos données personnelles restent potentiellement vulnérables.
Une autre réaction logique et plus modérée serait donc de changer les mots de passe de tous les sites sur lesquels nous sommes enregistrés (un bon week-end en perspective), mais sachez que cela est inutile voir contre-productif. En effet, tant que le problème de la faille ne sera pas résolu sur les sites en question, les nouvelles informations transmissent aux serveurs seront toujours autant exposées.
Quel est la position des principaux sites exposés ?
Que ce soit Facebook, Google ou Twitter, les plus grands professionnels du secteur n’ont pas tardé à réagir que ce soit du point de vue de la communication que du point de vue technique. Voici quelques extraits des différentes réactions :
- Facebook. « Nous avons protégé notre protocole OpenSSL avant que le problème ne soit rendu public[grâce à des informations partagées directement par des ingénieurs de Google travaillant sur OpenSSL]. Nous n’avons pas détecté d’activités suspectes sur des comptes Facebook liées à ce bug. Néanmoins, nous encourageons les utilisateurs de profiter de ce moment pour mettre en place un nouveau mot de passe unique pour Facebook. »
- Google, et plus précisément ses applications Gmail, YouTube, Wallet,Play. « Nous avons évalué la vulnérabilité d’OpenSSL et avons décidé d’appliquer un patch de sécurité aux services-clés de Google, comme la recherche, Gmail, YouTube, Wallet, Play, Apps, et App Engine », déclarent les équipes de sécurité de Google sur leur blog.
- Yahoo!, dont les services Yahoo Mail, Flickr et Tumblr sont concernés, dit que « les corrections appropriées ont été apportées à tout le portail ». Les équipes de Tumblr poussent leurs utilisateurs à changer tous leurs mots de passe sur tous les sites Internet.
- Airbnb et Netflix. The Wall Street Journal rapporte que ces deux services ont mis à jour leur protocole OpenSSL après la publication de l’alerte lundi 7 avril.
- Dropbox. Le service de stockage en ligne a expliqué avoir fait une mise à jour de sécurité pour tous ses services.
- Pinterest. « Nous avons réparé le problème sur Pinterest.com et n’avons trouvé aucune preuve de fraude. Néanmoins, pour être prudent, nous avons envoyé à des utilisateurs qui auraient pu être concernés des e-mails pour qu’ils changent leurs mots de passe », ont expliqué les équipes du réseau social à Mashable.
- Instagram. « Nos équipes de sécurité ont travaillé rapidement pour réparer le problème, et nous n’avons pas trouvé de preuves comme quoi un compte utilisateur avait été affecté. Mais, puisque cet événément a un impact sur de nombreux services, nous recommandons que vous changiez votre mot de passe sur Instagram, particulièrement si vous utilisez le même sur d’autres sites », peut-on lire sur Mashable.
- Twitter. Le réseau social assure que « ses serveurs et ses API n’ont pas été affectés par la vulnérabilité », mais a néanmoins déclaré à Mashable avoir mis à jour ses protocoles OpenSSL.
D’autres acteurs du marché comme par exemple Prestashop et WordPress (principaux CMS concernant la création de site web) sont à pied d’oeuvre pour sécuriser leur solution, à en croire leur service technique respectif que nous avons contactés.
En conclusion cet événement nous montre s’il fallait encore le prouver qu’Internet est encore dans une phase de maturité, ou du jour au lendemain la détection d’un bug dans les basses couches des protocoles de sécurité peut remettre en question l’usage intensif que nous en faisons et ainsi bouleverser l’activité de dizaines de milliers d’entreprises à travers le monde.