Heartbleed: Passé, présent et futur d’une faille surmédiatisée

Publié le

Heartbleed ci, Heartbleed ça…Vous en avez assez de Heartbleed? Tant pis pour vous, car cela ne fait que commencer ( Et s’arrêter rapidement, rassurez-vous), sachant qu’à peu près tous les médias se sont emparés de cette faille de sécurité pour en tirer des articles plus ou moins fouillés. A notre tour de manger nôtre part du gâteau Heartbleed, de vous expliquer les tenants et les aboutissants de cette faille et de vous préparer à la prochaine faille qui va créer panique et paranoïa pendant 48 heures…

Heartbleed c’est quoi?

Bref rappel des faits pour les retardataires, Heartbleed est le nom donné à la faille d’OpenSSL, un protocole de sécurité open source qui permet de vérifier les liaisons entre un serveur et un ordinateur. Cette faille est due à une modification du code effectuée en 2011 par un bénévole, puis validée par les superviseurs d’OpenSSL. Hasard du calendrier, la mise à jour s’est déployée juste le lendemain du nouvel an 2012…Hips!
Puisque vous êtes là, on vous réexplique comment cette faille fonctionne: Les ordinateurs communiquent avec les serveurs une fois mis en relation. Pour s’assurer que les deux parties sont bien en phase, l’ordinateur demande au serveur de lui confirmer sa présence en lui demandant une clé d’un certain nombre de caractères. Le serveur répond et si les caractères correspondant, la communication peut continuer. Sinon, OpenSSL met fin à la communication. La faille se situe au niveau du nombre de caractères revendiqués: Si ils sont moins nombreux que ceux annoncés, le serveur comble le trou avec des informations prises au hasard: données complétement inutiles, suites de caractères…ou mots de passe ou clé de cryptage.
En plus imagé, imaginez que vous demandiez à votre banquier un relevé de compte. Il vous demande votre nom ainsi que le nombre de lettres qui le compose. Si votre nom est “Maurice”, vous lui direz “Maurice: 7 lettres”. Et il vous répondra “Maurice: 7 lettres” pour être sûr de votre identité, avec un relevé de compte indiquant 7 caractères. Avec cette faille, si vous lui dites que vous vous appelez “M” et que votre nom comporte 100 caractères, ( soit M: 100 lettres), il vous répondra “M: 100 lettres”, avec un relevé de comptes remplis des données qu’il trouvera dans le compte bancaire.

10 jours plus tar, Heartbleed est toujours d’actualité

La dangerosité de cette faille tient dans l’exploitation des données recueillies: Si un cracker parvient à mettre la main sur des milliers de chaînes de caractères, il pourra en extraire des informations importantes, comme des mots de passe (toujours utile) ou des clés de cryptage (pour hacker le serveur). Si 500 000 serveurs ont été touchés par cette faille, soit 17% des serveurs sécurisés, des appareils, navigateurs et autres logiciels utilisant le protocole ont également été touchés. Les développeurs et éditeurs ont rapidement procédés à des mises à jour de sécurité-et continuent encore-mais le mal est fait: Dès l’annonce publique de Heartbleed, certains sites se sont fait pirater, notamment le site du fisc canadien et un site anglais dédié aux parents. Des cas visibles, bien qu’il soit possible que d’autres victimes aient décidé de taire une quelconque intrusion, ou ne s’en sont pas aperçues.

Heartbleed, dois-je m’inquiéter?

Comme dirait l’autre, Hearbleed c’est SNAFU ( tout est normal, c’est le bordel), puisque la faille, aussi énorme soit-elle, n’a pas causé de dommages très importants. C’est comme si une banque (oui, la même que plus haut) avait laissé son coffre ouvert et qu’aucun vol n’ait été signalé. Pour les entreprises, les répercussions sont minimes, puisque l’application du patch règle le problème. Pour les utilisateurs, il y a toujours le risque de se faire dérober ses identifiants ou des données personnelles. Si ce n’est déjà fait.

Sauf que, aucune épidémie de vol de données ne s’est répandue. A moins que tour à tour les sites concernés ne publient des Mea Culpa la gorge nouée, pour le moment rien n’indique qu’il y ait une quelconque raison de paniquer. De plus, il est déconseillé d’agir de manière préventive: Si vous changez tous vos mots de passe sur tous les sites que vous fréquentez, vous risquez justement d’envoyer des données aux crackers qui utilisent cette vulnérabilité. Attendez donc avant de le faire, et uniquement sur sollicitation des services qui vous auront averti.

Heartbleed, qu’est ce qui va se passer?

Rien. Ou pas grand-chose à l’échelle mondiale, jusque quelques incidents, mais aucune catastrophe d’amplitude ne va s’abattre sur Internet et ses utilisateurs. En tout cas, rien de pire que ce que la NSA a fait en espionnant les citoyens du monde entier. En revanche, cette faille de sécurité est une opportunité certaine pour remplir les plannings éditoriaux des médias. D’ailleurs, nous aussi avons succombé à la tentation, parce que nous ne sommes jamais les derniers à profiter d’une opportunité (ni les premiers d’ailleurs). Cette tarte à la crème va nourrir les rédactions pendant des semaines, ouvrant au passage des débats sur le logiciel libre et l’Open Source, la fiabilité des mots de passe ou la responsabilité des institutions sur le sujet. Sans oublier que les petits malins habituels vont en profiter pour lancer des campagnes d’hameçonnage, sortir des sites et des applications frauduleuses ou inonder les réseaux sociaux avec des alertes de sécurité, sans oublier les professionnels du logiciel qui vont se frottent les mains à l’idée de sortir des produits anti-Heartbleed.

Les logiciels supposés prévenir contre la faille foissonnent déjà

Car concrètement, les aubaines du genre sont rares: Imaginez que la presse annonce que toute les agences de votre banque présentent une porte dérobée accessible par les plus téméraires…Ici, le fait de révéler cette faille va entraîner une réaction en chaîne qui va détonner dans le paysage. Tout d’abord, chacun va y aller de son communiqué pour affirmer ou non sa totale imperméabilité. Ensuite, les services concernés vont émettre une large vague d’emails demandant aux utilisateurs de changer de mots de passe. En parallèle, les éditeurs de logiciels de sécurité vont émettre des bulletins plus ou moins rassurants sur la situation, tout en patchant leurs propres programmes. N’oublions pas les crackers, qui vont profiter d’une fenêtre de tir très courte pour récupérer le maximum de données sur les sites un peu trop lents à réagir.

Ensuite, les médias vont nourrir la bête de manière très intelligente: Tout d’abord en annonçant les avancées de la correction, puis en allumant des brasiers en ayant l’air de ne pas y toucher; Les détracteurs de l’open source et du libre ont déjà commencé à sortir leurs arguments, tandis que ses défenseurs s’appuient sur le manque de financement pour expliquer cette faille. Viendra ensuite le tour des éditeurs de logiciels propriétaires, puis celui des utilisateurs qui négligent la sécurité en utilisant des mots de passe trop évidents.

Enfin, tout le monde va s’accorder à dire que la gestion des mots de passe sur Internet est problématique. Encore trop de gens se montrent peu concernés par le sujet et continuent d’utiliser des identifiants beaucoup trop évidents. Une relation directe avec Heartbleed, mais pas évidente, dans la mesure où cette faille permet de récupérer tout type de mot de passe, aussi compliqués soient-ils. Néanmoins, cette piqûre de rappel est toujours bénéfique et nous l’espérons, permettra une prise de conscience de la part des internautes qui se sentent le moins concernés.

Et, le hasard faisant bien les choses, nous vous proposons quelques applications pour mieux gérer votre vie privée et vos mots de passe…Elle est pas belle la vie?

 

Sending
User Review
0 (0 votes)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet