Retour sur heartbleed

Quoi de neuf ?

22 Avr 2014

Retour sur heartbleed

Quelques jours après la découverte de cette faille de sécurité, potentiellement la plus importante de l’ère numérique, il convient de faire un bref retour sur la situation.

 

Heartbleed, qu’est-ce que c’est?

En bref, Heartbleed est une faille de sécurité dans la librairie OpenSSL, librairie utilisée par plusieurs sites majeurs dont Facebook, Google et plusieurs sites gouvernementaux, pour encrypter les données transférées.

 

Comment la faille fonctionne-t-elle?

Lorsque deux systèmes communiquent ensemble, généralement un serveur avec un client, un « heartbeat » est envoyé. C’est une façon de vérifier que l’interlocuteur est encore disponible et répond bien.

C’est dans l’implémentation de cette pratique que la faille se situe. En effet, il est possible de demander au serveur de retourner plus d’information que ce qui devrait être divulgué en spécifiant le nombre de caractères qui devraient être retournés. Les informations sont puisées dans la mémoire et peuvent contenir jusqu’à 64 000 caractères.  L’image ci-dessous (qui a rapidement fait le tour des médias sociaux) démontre bien ce problème :

 

 Heartbleed

 

Source : http://xkcd.com/1354/

 

Pourquoi la faille est-elle considérée comme majeure?

Il est estimé que les deux tiers des serveurs dans le monde utilisent OpenSSL. La faille existe depuis mai 2012. Personne ne peut dire si des données ont été interceptées durant cette période.

 

Les précautions à prendre

Il y a très peu de choses que vous pouvez faire pour intervenir dans cette situation. Il est fortement recommandé de changer vos mots de passe sur les sites et applications ayant été affectés (voir la liste à l’adresse suivante : http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/).

Cependant, il n’y a malheureusement rien qui garantit que ce qui a été échangé avant n'a pas été intercepté par quelqu’un et que cette information ne sera pas utilisée ultérieurement.

 

Par Jonathan Felton | NéoSynergix inc. | www.neosynergix.com | Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.