Sécurité

Qu’est-ce que le bug Heartbleed et comment vous pouvez vous protéger (et protéger vos serveurs) – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Au cours des deux derniers jours, vous avez peut-être entendu parler du bogue Heartbleed plutôt inquiétant – un bogue qui a affecté des centaines de millions de sites Web, exposant les noms d’utilisateur, les mots de passe, les clés de cryptage et d’autres données sensibles. Ce bogue n’a pas été découvert pendant deux ans, ce qui signifie qu’il est fort probable que certaines de vos données aient été exposées et récupérées par des pirates entreprenants — et malheureusement, étant donné la nature de ce bogue, vous ne pouvez presque rien y faire. En date de ce matin, malgré l’installation effrénée de correctifs de sécurité, un grand nombre de sites sont encore touchés par le bug, et ils le resteront probablement pendant des mois. Lisez la suite pour en savoir plus sur Heartbleed et sur ce que vous pouvez faire pour vous protéger.

Qu’est-ce que le bogue Heartbleed ?

Heartbleed est un bogue dans l’implémentation OpenSSL du protocole SSL/TLS. OpenSSL est une bibliothèque open source qui gère les communications sécurisées et cryptées pour la majorité des serveurs Web en ligne. Si le serveur prend en charge les communications cryptées, c’est-à-dire qu’il accepte les adresses commençant par https:// – alors il y a de fortes chances qu’il soit vulnérable à Heartbleed. Vous pouvez utiliser le Site Web du test Heartbleed pour voir si un site est vulnérable à l’exploit.

Je n’entrerai pas dans les détails techniques de ce causé le bug Heartbleed en premier lieu – le Site Web de Heartbleed a toutes les informations dont vous pourriez avoir besoin – mais je vais vous dire à peu près comment cela fonctionne et quelles données il expose. Heartbleed, désignation officielle CVE-2014-0160, est un bogue dans l’extension Heartbeat d’OpenSSL. Il n’est pas important de savoir ce que fait cette extension, seulement qu’elle a été mal codée (en langage codeur, elle manquait de vérification des limites). Ce bug peut être exploité par un hacker pour lire des blocs de 64Ko depuis la RAM du serveur. Le pirate informatique ne peut saisir qu’un seul bloc de 64 Ko à la fois, mais il peut continuer à en récupérer jusqu’à ce qu’il ait rassemblé toutes les données dont il a besoin.

Psssssst :  Un nouveau rapport dénonce la défense antimissile américaine et les systèmes radar mis sous cocon - High-teK.ca

Avec l’accès à la mémoire du serveur, le gabarit est en place. Mots de passe, certificats de sécurité (clés de cryptage), autres détails sensibles – ils sont tous stockés en mémoire et ils ont tous été exposés au cours des deux dernières années grâce au bug Heartbleed d’OpenSSL.

Bug Heartbleed sur Yahoo

Yahoo était vulnérable au bogue Heartbleed, mais il a maintenant été corrigé

Comment vous protéger/protéger vos serveurs de Heartbleed

Si vous êtes administrateur de serveur : Le bogue Heartbleed a été corrigé dans la version 1.0.1g d’OpenSSL. Si le package mis à jour n’est pas encore disponible pour votre distribution, l’option de compilation de -DOPENSSL_NO_HEARTBEATS atténuera également contre le bogue.

Si vous êtes un internaute : La réponse courte et plutôt désagréable est qu’il n’y a pas grand-chose que vous puissiez faire pour vous protéger de Heartbleed. Si un site web vous oblige à vous connecter (pour poster un commentaire, pour consulter votre messagerie) il y a de fortes chances que les pirates aient eu deux ans pour glaner votre mot de passe dans la mémoire du serveur. Le bogue est exacerbé par le fait qu’il ne laisse aucune trace dans les fichiers journaux, il n’y a donc aucun moyen de savoir si un mot de passe ou une clé de chiffrement a été exposé.

Cela semble dramatique, mais un bogue de cette ampleur nécessite essentiellement que presque tout le monde sur Internet change ses mots de passe. Il y a un très grande chance que votre nom et votre mot de passe se trouvent actuellement sur un serveur vulnérable au bogue Heartbleed. Si vous êtes un administrateur de serveur, vous devez vraiment émettre de nouveaux certificats de sécurité pour tous les domaines concernés.

Psssssst :  La bataille pour le contrôle d'Internet se déroule à Dubaï - High-teK.ca

Avant de changer vos mots de passe, gardez ceci à l’esprit : jusqu’à ce que tous vos sites Web soient mis à jour vers une version sécurisée d’OpenSSL, vous êtes toujours vulnérable. Combien de temps faudra-t-il pour que l’ensemble du Web utilise une version sécurisée d’OpenSSL ? Les sites Web plus importants devraient réagir assez rapidement à un exploit de cette ampleur. D’ici la fin de la semaine, je serais surpris s’il y avait de gros services Web encore vulnérables.

Cependant, comme toujours avec les failles de sécurité, ce ne sont pas les gros sites dont vous devez vous soucier : ce sont les forums et les petits sites de commerce électronique qui n’ont pas d’administrateurs dédiés qui seront probablement vulnérables pendant des mois ou des années à venir. Ces sites plus petits sont connus pour exécuter des logiciels obsolètes depuis des mois ou des années, car personne ne peut être dérangé (ou ne sait comment) effectuer les mises à jour requises. Si vous connaissez quelqu’un qui gère un site Web ou un forum plus petit, envoyez-lui un lien vers cette histoire ou vers le site Web Heartbleed bug. Dites-leur qu’ils ont vraiment besoin de mettre à jour vers la dernière version d’OpenSSL.

Le bogue Heartbleed provoquera des ondulations pour les années à venir – et à court terme, peut-être aussi un tsunami de hacks de haut niveau, à moins que les grands sites Web ne bougent très rapidement. Suite à la divulgation publique du bogue le 7 avril, il y a déjà eu une augmentation marquée du nombre d’utilisateurs signalant des comptes piratés. Si un pirate informatique parvient à obtenir les certificats de sécurité d’une cible de premier plan, comme une banque ou un gouvernement – ce qui est une possibilité très probable – il n’y a presque aucune limite à la quantité de dommages qui pourraient être causés. Tout cela à cause d’un peu de codage bâclé par l’équipe OpenSSL.

Psssssst :  Une nouvelle analyse montre que plus de 99% des femmes d'Ashley Madison étaient fausses

Bouton retour en haut de la page