heartbleed

Elle existe depuis 2 ans, mais elle n’a été révélée que dans la nuit du 7 au 8 avril. Heartbleed (« coeur qui saigne » en anglais), est une faille qui affecte le service OpenSSL, qui permet de chiffrer les communications sur Internet, généralement symbolisé par un verrou à côté de l’URL.

Qu’est ce qu’Heartbleed ?

Heartbleed existerait depuis décembre 2011 et le problème se serait accru en 2012 lors de la mise à jour du code de l’OpenSSL. Corrigée depuis quelques jours, la faille aurait permis pendant 2 ans de lire la mémoire des systèmes « protégés » par des versions vulnérables du logiciel OpenSSL, ce qui inclut informations personnelles, mots de passe ou données bancaires. Plus inquiétant, elle aurait permis aux pirates de décrypter les trafics vers les services protégés et de les imiter.

Quels risques ?

La bibliothèque de cryptage OpenSSL est utilisée par de nombreux serveurs Web. On parle même de 2 sites sur trois. Mais toutes les versions d’OpenSSL ne contenant pas la faille, il faut rester prudent et ne pas céder à une panique générale. Parmi les géants du Web, seul Yahoo aurait été affecté, ainsi que des sites comme Flickr (voir liste non exhaustive).

Une faille à prendre – aussi bien dans ses causes que ses conséquences – au conditionnel, puisque certains flous persistent encore sur ce bug. Dans tous les cas, la responsabilité pour le corriger incomberait dans un premier temps aux personnes en charge des serveurs des sites en question.

Source (en anglais)