Heartbleed, la faille de sécurité qui menace vos mots de passe

Heartbleed ou le coeur qui saigne est le nom donné à une faille de sécurité logée dans le logiciel OpenSSL. Celle-ci a été rendue publique hier, alors qu’elle existe depuis quelques années…

Il faut savoir que ce logiciel OpenSSL est utilisé par bon nombre de site internet pour crypter les données “sensibles” de leurs clients (comprendre mots de passe, identifiants, coordonnées bancaires entre autres). Et qu’Heartbleed n’était rien de moins qu’une invitation aux pirates informatiques de tous bords à récupérer ces données informatiques en passant par la mémoire des serveurs de l’ordinateur.

Mais d’autres informations bien plus sensibles sont susceptibles d’être récupérées via ce bug telles que par exemple : le code source d’un site ou les “clés” utilisées pour déverrouiller des données cryptées.
“Ce sont les joyaux de la couronne, les clés d’encodage elles-mêmes”, souligne le site heartbleed.com qui détaille les vulnérabilités de la faille. Ces clés “permettent aux pirates de décrypter tous les trafics, passés et à venir, vers les services protégés et d’imiter ces services”.

Cette faille a été créée en 2011 lors d’une mise à jour du code du logiciel open source OpenSSL mais c’est avec la mise en ligne d’OpenSSL 1.0.1, il y a tout juste deux ans, que les choses ont quelque peu empiré… Ce n’est que très récemment qu’Heartbleed a été découverte par Neel Mehta de Google Security.

Yahoo serait pour le moment concerné. Des chercheurs en sécurité informatique ont dit avoir été capables de récupérer identifiants et mots de passe des utilisateurs de Yahoo via cette faille. Yahoo a bien évidemment réagi. “Notre équipe a fait avec succès les corrections nécessaires dans les principales propriétés de Yahoo (Yahoo Homepage, Yahoo Search, Yahoo Mail, Yahoo Finance, Yahoo Sports, Yahoo Food, Yahoo Tech, Flickr et Tumblr) et nous travaillons à mettre en oeuvre la solution à travers le reste de nos sites dès maintenant”, indique le groupe dans un communiqué, cité par CNet.

Normalement des sites comme Google, Microsoft, Twitter, Facebook ou encore Dropbox n’ont pas souffert de ce bug. Par contre, selon The Guardian, le site du FBI ne pourrait pas en dire autant…

OpenSLL a publié mardi un correctif. Toutefois, il faudra un peu de temps afin que les serveurs se mettent à jour et soient réinitialisés.

Il est également recommandé de ne pas aller pour le moment sur les sites “à risques” et d’éviter les achats en ligne.