Heartbleed : la communauté de la sécurité IT mobilisée

Heartbleed, du nom de cette vulnérabilité découverte dans OpenSSL, agite la sphère de la sécurité IT. En France, la cellule nationale de veille pour les menaces informatiques (CERT-FR) a diffusé un bulletin d’alerte le 8 avril pour signaler cette faille qui permet à « un attaquant de provoquer un contournement de la politique de sécurité et une atteinte à la confidentialité des données ».

Un correctif d’OpenSSL est désormais disponible selon le CERT-FR qui recommande de mettre à jour les installations vulnérables. Mais la tâche est immense : de code défaillants subsisteraient dans des services populaires sur Internet tels que la messagerie, les logiciels de sécurité, les jeux en ligne, les PC et les téléphones mobiles.

Si des mesures de protection ont été prises pour des serveurs web qui servent de carrefour d’audience (Amazon, Google, Yahoo…), le chantier pour sécuriser le World Wide Web reste immense, selon un état des lieux effectués par Reuters.

Des éditeurs de solutions de sécurité IT se mobilisent comme DenyAll (pare-feux applicatifs) qui proposera demain un webinar spécial  Heartbleed avec son directeur technique Renaud Bidou. « Probablement la vulnérabilité la plus critique de ces 10 dernières années, qui affecte les deux tiers des serveurs Internet », est-il annoncé.

Aux Etats-Unis, c’est sous l’angle du renseignement que les débats s’agitent. Selon Bloomberg, la NSA était consciente de la faille OpenSSL depuis au moins deux ans et elle l’a exploitée afin de récupérer des informations sensibles.
La direction nationale du renseignement (Office of the Director of National Intelligence) dément cette information. « Les éléments rapportés selon lesquels la NSA ou n’importe quel organisme gouvernemental ait pu exploiter la faille surnommée Heartbleed avant 2014 sont fausses. »

Quiz : Connaissez-vous les VPN ?

Credit photo : Shutterstock.com –  Copyright: Yuriy Vlasenko