Heartbleed

La faille de sécurité Heartbleed est une erreur de programmation dans la bibliothèque cryptographique OpenSSL. Ce bug permet à un pirate de se procurer des informations sensibles comme des noms d'utilisateur, des mots de passe et des clés de chiffrement secrètes. La faille de sécurité Heartbleed peut être exploitée sans aucune intervention de l'utilisateur, et les données confidentielles peuvent être volées par blocs de 64 Ko à la fois. Le nom officiel de Heartbleed est CVE-2014-0160. Les versions affectées d'OpenSSL sont les versions 1.0.1 à 1.0.1f et 1.0.2-beta. Le bug Heartbleed est unique en ce qu'il est facile à exploiter sans laisser de trace.

La faille de sécurité Heartbleed concerne les extensions Heartbeat. Les utilisateurs affectés doivent effectuer une mise à niveau vers OpenSSL 1.0.1g.

OpenSSL est utilisé par divers services Internet, y compris des fournisseurs de messagerie électronique et des forums. The OpenSSL Project a été fondé en 1998 dans le but de créer un outil de chiffrement, aujourd'hui utilisé par deux tiers des serveurs Web. OpenSSL sert à protéger des sites Web gouvernementaux, commerciaux et de distribution de logiciels, entre autres. On estime à environ 1,4 million le nombre de serveurs Web vulnérables. Les fournisseurs de services doivent remédier au bug à l'aide du correctif Heartbleed et inviter leurs utilisateurs à changer de mot de passe. Ce dernier ne doit être changé qu'une fois que le correctif a été appliqué. Si vous avez un compte Facebook, Instagram, Pinterest, Tumblr, Google, Yahoo, Etsy, GoDaddy, Flickr, Minecraft, Netflix, SoundCloud ou YouTube, mieux vaut changer votre mot de passe de connexion. Il n'est pas certain que Facebook ait été affecté, car aucune activité suspecte n'a été détectée. Néanmoins, il est conseillé de changer de mot de passe pour éviter toute fuite de données.

En ce qui concerne les systèmes d'exploitation pour mobiles, Apple iOS et Microsoft Phone n'utilisent pas OpenSSL, tandis que BlackBerry signale que ses téléphones ne sont pas concernés. En revanche, Android version 4.1.1 a été affecté.

Il est fortement recommandé d'utiliser des mots de passe complexes et de les changer régulièrement. Selon Microsoft, Microsoft Account, Office 365, Yammer, Microsoft Azure et Skype ne sont pas concernés par la faille de sécurité Heartbleed.

Certains prétendent que l'Agence nationale de la sécurité des États-Unis (National Security Agency ou NSA) connaissait déjà le problème, ce qu'elle dément formellement. Officiellement, la NSA ne fait aucun commentaire concernant cette vulnérabilité et nie avoir été au courant.

Heartbleed est considéré comme l'un des plus grands bugs de toute l'histoire d'Internet. Par exemple, le gouvernement canadien est obligé de réexaminer les déclarations d'impôt électroniques.