Alors que les sites ont pu se mettre à jour pour sécuriser leur protocole de cryptage SSL, la lourde procédure de sécurisation des navigateurs pourrait entraîner des perturbations. Pendant que tout le Web se met à jour pour combler l’une des failles les plus importantes rencontrées à ce jour, un nouveau scandale autour de Heartbleed, des pratiques de la NSA et du gouvernement américain a été mis à jour.
Mise à jour des navigateurs : des ralentissements attendus
Après les sites Web, c’est au tour des navigateurs de mettre à jour leur système pour combler la faille de sécurité découverte dans le protocole de cryptage SSL. L’opération pourrait ralentir, voire compromettre, l’accès à certains sites.
La faille Heartbleed, découverte la semaine dernière, demande de sérieuses réparations qu’il faut généraliser à une très grande partie du Web. Les navigateurs Internet (Internet Explorer, Google Chrome, Firefox…) pourraient être surchargés pendant l’opération de renouvellement des certificats de sécurité. Pour les utilisateurs, cela se traduirait par des messages d’erreur ou des ralentissements.
Le correctif passe par l’obtention par les sites de nouveaux certificats de sécurité pour qu’ils soient reconnus comme fiables par les navigateurs. Mais les navigateurs doivent mettre à jour leur liste de certificats, ou « clés », non fiables, qui déclenchent une alerte quand un internaute tente d’y accéder.
La liste des clés à mettre à jour pourrait s’élever à plusieurs dizaines de milliers par jour. Et si la vérification dure trop longtemps, les navigateurs pourraient simplement déclarer le site invalide ou retourner un message d’erreur.
Notez que les applications pour smartphone sont également concernées par la faille. Google, par exemple, a appelé les développeurs d’applications Android à créer de nouvelles clés de sécurité. En effet, les smartphones se connectent à des serveurs potentiellement affectés par Heartbleed et certaines applications peuvent être vulnérables. En effet, des spécialistes de sécurité ont découvert 273 applications vulnérables dans Google Play.
La faille aurait été exploitée par la NSA, avec la bénédiction de la Maison-Blanche
La découverte de cette faille dans OpenSSL a soulevé une nouvelle polémique impliquant la NSA. Alors qu’on apprenait ce weekend que la NSA aurait exploité en toute discrétion la faille pendant au moins deux ans pour collecter des données, au risque de laisser les internautes, les institutions ou les entreprises subir des attaques. Bien que la NSA ait démenti ces informations, les récents scandales autour de ses activités lui font perdre sa crédibilité.
Le New York Times a publié un article citant des hauts responsables de l’administration américaine confirmant non seulement que l’agence était bien au courant de l’existence de la faille Heartbleed, mais qu’elle était notamment soutenue par Washington qui l’a autorisé en début d’année à poursuivre son exploitation.