Mardi, la bibliothèque logicielle OpenSSL a été mise à jour en urgence pour corriger une faille critique. Baptisée Heartbleed, en référence à l’extension Heartbeats qu’elle affecte, la vulnérabilité met à mal le protocole SSL utilisé pour protéger les mots de passe, les identifiants, numéro de carte bancaire…
Des experts en sécurité ont découvert la faille dans le logiciel de cryptage des données utilisé par la moitié des sites Internet et la mise à jour a été déployée en urgence. Avec cette faille, les pirates peuvent en effet récupérer des informations en passant par la mémoire des serveurs de l’ordinateur et effectuer un nombre d’attaque illimité. Tous les trafics passés vers les services protégés peuvent donc être décryptés.
Comment ça marche ?
Tout ce qui utilise OpenSSL pour se connecter en HTTPS est concerné. La faille se situe dans la fonctionnalité « heartbeats » (des petits messages envoyés entre le serveur et le client pour indiquer qu’ils sont encore là, à la manière d’un ping) et permet de récupérer lire le contenu de la mémoire vive du serveur (celle qui stocke les clés de chiffrement, les mots de passe…). La faille permet au pirate de s’introduire dans le serveur de destination et d’en lire tout sa mémoire sans laisser la moindre trace. En effet, les « heartbeats » étant envoyés très régulièrement, ils ne sont pas enregistrés. Donc toute activité suspecte ne peut être détectée.
Une mise à jour et un moyen de contourner le problème ont été proposés. Les serveurs utilisant OpenSSL doivent désormais les appliquer au plus vite.
La faille qui touche le trafic HTTPS, qui concerne plusieurs centaines de milliers de serveurs dans le monde, est peut-être utilisée depuis des mois sans que personne ne le sache. Il semblerait que la faille existe depuis 2 ans environ. En tant qu’utilisateur, il n’y a rien à faire pour se protéger hormis changer tous ses mots de passe et espérer que les serveurs soient mis à jour au plus vite.
Le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatique a publié hier un bulletin d’alerte.
Le site heartbleed.com détail les caractéristiques et les vulnérabilités de la faille.
Nordnet se réserve le droit de publier ou de ne pas publier le commentaire. Le champ du commentaire n’est pas destiné à recevoir une question liée à de l’aide ou de l’assistance. Si vous avez besoin d’aide, vous pouvez consulter la page d’assistance disponible sur le site de Nordnet.com à l’adresse : https://assistance.nordnet.com/ ou contacter le service clients (appel non surtaxé) au 3420.
Ces informations sont nécessaires au traitement de votre commentaire à moins qu’elles ne soient indiquées comme étant facultatives. Elles font l’objet d’un traitement informatisé, sous la responsabilité du PDG de Nordnet chargés de l’exécution de votre demande et de toute suite qui pourraient en résulter. Conformément aux dispositions légales et réglementaires applicables, vous disposez notamment d’un droit d’accès, de rectification, d’opposition, pour des motifs légitimes, au traitement de ces informations, à la transmission à des tiers des informations vous concernant, ou à la réception d’informations commerciales. Pour exercer vos droits, veuillez adresser un courrier à Nordnet Pôle Clients – 20 rue Denis Papin – CS 20458 – 59664 Villeneuve d’Ascq Cedex, ou un courriel à l’adresse : coordonnees@nordnet.com en justifiant de votre identité et en précisant le cas échéant les coordonnées, le média et le contrat concernés (seules les demandes portant sur les données personnelles recevront une réponse). Sans préjudice des obligations de conservation, ces informations ne sont conservées, en base active, sous une forme permettant l’identification que pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. En complément de ce qui précède, consultez notre politique de traitement des données à caractère personnel de Nordnet.