Heartbleed : l’hémorragie furtive liée à l’OpenSSL est loin d’être stoppée
Des premières victimes de piratage lié la vulnérabilité Heartbleed via OpenSSL sont recensés. Et son potentiel ravageur reste flou (certificats numériques visés ?).
Découverte la semaine dernière mais présente depuis deux ans, Heartbleed fait des ravages que l’on découvre progressivement. Cette faille de sécurité IT qui touche OpenSSL, une bibliothèque open source de chiffrement SSL/TLS des connexions, a servi de levier à des pirates pour s’emparer de numéros d’assurance sociale de 900 citoyens, selon l’Agence du revenu du Canada (CRA) notamment chargée de fournir des identités numériques pour exploiter les services publics sur Internet.
« Elle a rapidement réagi en suspendant, le 8 avril 2014, l’accès public à ses services en ligne afin de protéger les renseignements des contribuables », peut-on lire sur le site Web de la CRA.
Au Royaume-Uni, Mumsnet, portail dédié aux mamans, a alerté sa communauté d’1,5 million de membres : des données personnelles ont pu être dérobées à cause de Heartbleed mais il est difficile d’évaluer l’ampleur du préjudice. Selon Silicon.fr, les banques en France tentent de rassurer, sans vraiment convaincre.
« Le code vulnérable est intégré dans de très nombreux serveurs et sites Web, il est également utilisé dans des messageries et certains systèmes d’accès distants d’entreprises », explique Thomas Gayet, Directeur stratégie cybersécurité du cabinet Lexsi (expertise en sécurité IT). « Des acteurs de tous les secteurs sont concernés. Mais il est difficile de préciser combien, d’autant plus qu’une attaque potentielle ne laisse pas de trace dans les journaux d’événements. »
La situation est difficile à gérer car Heartbleed touche toute la chaîne numérique: serveurs, PC, tablettes, réseaux, logiciels, smartphones Android et même les applications mobiles. Ainsi, l’éditeur de solutions de sécurité IT Trend Micro a détecté 7000 applis vulnérables sur le Google Play (qui en comprend des centaines de milliers) : e-shopping, paiement mobile, m-banking…
Selon Gérôme Billois, expert chez Solucom, interviewé dans Les Echos, « c’est l’une des pires failles que l’on ait connue : elle touche au cœur même des systèmes de sécurité et ne laisse aucune trace. »
Selon les évaluations floues qui circulent, on estime que « Heartbleed touche deux tiers de l’Internet » (le Washington Post reprend cette assertion sans donner de sources précises). Et on ignore l’impact potentiel. Par exemple, la faille peut-elle servir à voler des certificats numériques de services Internet comme Google ? Et dans ce cas, détourner le trafic Web vers des sites infectés de malware…
Ce qui engendrerait un vaste renouvellement des certificats de sécurité exploités par les navigateurs (Google Chrome, Firefox, Internet Explorer…) pour guider les internautes dans leurs sessions de surf. Un scénario qui serait susceptible de provoquer des ralentissements d’accès à des sites Web, estime Johannes Ullrich, expert du SANS Internet Storm Center.
Quiz : Connaissez-vous les VPN ?
Credit photo : Shutterstock.com – Copyright: wwwebmeister