Overblog
Suivre ce blog
Editer l'article Administration Créer mon blog
10 avril 2014 4 10 /04 /avril /2014 07:20
Cybersécurité/"Heartbleed", la faille qui fait trembler Internet

 

 

09.04.2014 Romandie.com (AWP)

 

San Francisco/Berne (awp/ats/afp) - Des spécialistes informatiques ont mis en garde mardi contre une faille importante dans un logiciel de cryptage utilisé par la moitié des sites internet. Elle permettrait aux pirates de pénétrer dans les ordinateurs pour y récupérer codes et mots de passe.

 

La faille, baptisée "Heartbleed" ("coeur qui saigne"), a été découverte sur le logiciel OpenSSL. Utilisé pour protéger ses mots de passe, ses numéros de carte bancaire ou d'autres données sur Internet, OpenSSL est utilisé par la moitié des sites web, mais la faille n'existe pas sur toutes les versions.

 

Selon la société de sécurité informatique Fox-IT, la faille existe depuis une version d'OpenSSL sortie il y a deux ans environ.

 

LES HTTPS:// CONCERNÉS

 

Le collectif derrière OpenSSL a publié une alerte de sécurité et recommandé à ses utilisateurs de passer à une version améliorée du logiciel. Il précise que c'est un chercheur de Google Security qui a découvert la faille.

 

Les shops en ligne ainsi que les portails des caisses-maladie sont touchés au même titre que les fournisseurs d'adresses e-mail et que les instituts financiers (e-banking ou transactions par cartes de crédit), a précisé la centrale d'enregistrement et d'analyse de la Confédération pour la sûreté de l'information MELANI. La plupart des liens Internet qui commencent par https:// sont concernés.

 

La faille ne concerne pas toutes les versions d'OpenSSL. Elle ne permet pas à un pirate d'obtenir plus de 64 kilo-octets de données à la fois, ni de contrôler précisément à quelle partie de la mémoire du serveur informatique il accède, selon des spécialistes en sécurité informatique.

 

ATTAQUES ILLIMITÉES

 

Grâce à cette faille, les pirates peuvent récupérer des informations en passant par la mémoire des serveurs de l'ordinateur, selon des spécialistes de Fox-IT. "Le nombre d'attaques qu'ils peuvent effectuer est sans limite", indique Fox-IT dans un billet recensant les procédures à suivre pour repousser les incursions.

 

Parmi les informations susceptibles d'être récupérées par les pirates figurent le code source (instructions pour le microprocesseur), les mots de passe, et les "clés" utilisées pour déverrouiller des données cryptées ou imiter un site.

 

"LES JOYAUX DE LA COURONNE"

 

"Ce sont les joyaux de la couronne, les clés d'encodage elles-mêmes", souligne le site heartbleed.com qui détaille les vulnérabilités de la faille. Ces clés "permettent aux pirates de décrypter tous les trafics, passés et à venir, vers les services protégés et d'imiter ces services".

 

Des chercheurs en sécurité informatique ont d'ailleurs rapporté qu'ils ont pu récupérer des informations de mots de passe de Yahoo!, qui a précisé mardi avoir pu résoudre le problème.

 

EVITER INTERNET

 

En Suisse, le directeur suppléant de MELANI Max Klaus recommande d'interrompre si possible toutes les transmissions de données sensibles sur Internet dans les prochaines 48 heures, a-t-il affirmé à la radio alémanique SRF.

 

Un billet sur le site Tor Project, qui milite pour l'anonymat en ligne, exhorte d'ailleurs ceux qui ont des besoins élevés en matière de protection en ligne d'éviter d'utiliser Internet pendant quelques jours, afin de permettre aux sites et aux serveurs d'améliorer leur sécurité.

 

Le conseil a été suivi en partie par les services fiscaux canadiens, qui ont désactivé mercredi la partie de leur site internet permettant aux contribuables d'accéder à leurs dossiers fiscaux.

 

TESTER LA VULNÉRABILITÉ DES SERVEURS

 

En revanche, pour Peter Fischer, directeur du centre de compétences sur la sécurité informatique à la Haute Ecole de Lucerne, il suffit que les internautes se rendent sur la page http://filippo.io/heartbleed avant utilisation et testent la vulnérabilité du serveur désiré.

 

Mercredi en fin de journée, après une période de fragilité, les sites bluewin.ch et credit-suisse.ch étaient à nouveau considérés comme sûrs tout comme ubs.com et postfinance.ch qui utilisaient une version corrigée d'OpenSSL.

 

On ne sait pas encore si Heartbleed a été effectivement exploitée par des pirates, mais les gestionnaires de site ayant utilisé des versions compromises d'OpenSSL doivent passer à des versions plus sûres ou procéder à des mises à jour de sécurité développées en urgence.

Partager cet article

commentaires

Présentation

  • : RP Defense
  • RP Defense
  • : Web review defence industry - Revue du web industrie de défense - company information - news in France, Europe and elsewhere ...
  • Contact

Recherche

Articles Récents

  • Externalisation de la Défense et de la Sécurité en France ? - 15 Décembre
    Le Comité directeur de l'ANAJ-IHEDN a le plaisir de vous inviter à la conférence : Vers une externalisation de la Défense et de la Sécurité en France ? Guillaume FARDE Maître de conférences à Sciences Po Paris, auteur de Externaliser la sécurité et la...
  • Chronique culturelle - 24 Nov.
    24 novembre 1977 : premier vol du Super Etendard de série 24.11.2016 source JFP 24 novembre 885 : début du siège de Paris par les Vikings. Très actifs durant le IXè siècle, les Vikings ont pris l’habitude de remonter les fleuves du Nord de la France pour...
  • Sortie en librairie le 21 novembre du livre LÉGIONNAIRE
    source MAREUIL EDITIONS Pour la première fois, un ancien officier de la Légion et un Légionnaire donnent la parole à 64 de leurs camarades. Pendant 2 ans, Victor Ferreira a rencontré près d’une centaine de Légionnaires à travers le monde en leur posant...
  • Brazilian Navy H225M Naval Combat Configuration
    17 nov. 2016 Airbus Helicopters Helibras and Airbus Helicopters have opened a new chapter in the history of the H225M multirole utility helicopter with the official presentation of the first aircraft in naval combat configuration. More info Helibras and...
  • Chronique culturelle - 17 Nov.
    La Bataille du Pont d'Arcole - Horace Vernet 17.11.2016 source JFP 17 novembre 1794 : début de la bataille de la Sierra Negra (Espagne) « opposant les troupes des généraux de Pérignon et Dugommier à celles du général espagnol de Carvajal. Cette victoire...
  • Le CEAM présente le CEILDT - Centre d’Expertise et d’Instruction des Liaisons de Données Tactiques
    15 nov. 2016 CEAM Petit clip de présentation sur le Centre d’Expertise et d’Instruction des Liaisons de Données Tactiques (CEILDT). Petit clip de présentation sur le Centre d'Expertise et d'Instruction des Liaisons de Données Tactiques (CEILDT).
  • Audition de M. Marwan Lahoud, président du groupement des industries françaises aéronautiques et spatiales
    photo Aseemblée Nationale 9 novembre 2016 Commission de la défense nationale et des forces armées - Compte rendu n° 15 Présidence de Mme Patricia Adam, présidente — Audition, ouverte à la presse, de M. Marwan Lahoud, président du groupement des industries...
  • Chronique culturelle - 15 Nov.
    Jean Gabin, chef de char du Régiment Blindé de Fusiliers Marins 15.11.2016 source JFP 15 novembre 1315 : bataille de Morgarten (Suisse actuelle). Convoités à la fois par la Bavière et l'Autriche, les Cantons suisses (Uri, Schwytz et Unterwald) donnent...
  • Chammal : les artilleurs appuient les forces irakiennes
    10 nov. 2016 Ministère de la Défense Opération Chammal : les artilleurs de la Task Force Wagram appuient les forces irakiennes et participent à la sécurisation des zones conquises aux alentours de Mossoul. Opération Chammal : les artilleurs de la Task...
  • Chronique culturelle - 10 Nov.
    La bataille de Tolbiac, toile marouflée, Panthéon de Paris, France - Joseph Blanc (1846-1904) 10.11.2016 source JFP 10 novembre 496 : bataille de Tolbiac (Zulpich - Allemagne actuelle). Le roi Clovis écrase les Alamans près de l'actuelle ville de Cologne...

Categories