Pour gérer vos consentements :
Categories: Cloud

Heartbleed : l’hémorragie furtive liée à l’OpenSSL est loin d’être stoppée

Découverte la semaine dernière mais présente depuis deux ans, Heartbleed fait des ravages que l’on découvre progressivement. Cette faille de sécurité IT qui touche OpenSSL, une bibliothèque open source de chiffrement SSL/TLS des connexions, a servi de levier à des pirates pour s’emparer de numéros d’assurance sociale de 900 citoyens, selon l’Agence du revenu du Canada (CRA) notamment chargée de fournir des identités numériques pour exploiter les services publics sur Internet.

« Elle a rapidement réagi en suspendant, le 8 avril 2014, l’accès public à ses services en ligne afin de protéger les renseignements des contribuables », peut-on lire sur le site Web de la CRA.

Au Royaume-Uni, Mumsnet, portail dédié aux mamans, a alerté sa communauté d’1,5 million de membres : des données personnelles ont pu être dérobées à cause de Heartbleed mais il est difficile d’évaluer l’ampleur du préjudice. Selon Silicon.fr, les banques en France tentent de rassurer, sans vraiment convaincre.

« Le code vulnérable est intégré dans de très nombreux serveurs et sites Web, il est également utilisé dans des messageries et certains systèmes d’accès distants d’entreprises », explique Thomas Gayet, Directeur stratégie cybersécurité du cabinet Lexsi (expertise en sécurité IT). « Des acteurs de tous les secteurs sont concernés. Mais il est difficile de préciser combien, d’autant plus qu’une attaque potentielle ne laisse pas de trace dans les journaux d’événements. »

La situation est difficile à gérer car Heartbleed touche toute la chaîne numérique: serveurs, PC, tablettes, réseaux, logiciels, smartphones Android et même les applications mobiles. Ainsi, l’éditeur de solutions de sécurité IT Trend Micro a détecté 7000 applis vulnérables sur le Google Play (qui en comprend des centaines de milliers) : e-shopping, paiement mobile, m-banking…

Selon Gérôme Billois, expert chez Solucom, interviewé dans Les Echos, « c’est l’une des pires failles que l’on ait connue : elle touche au cœur même des systèmes de sécurité et ne laisse aucune trace. »

Selon les évaluations floues qui circulent, on estime que « Heartbleed touche deux tiers de l’Internet » (le Washington Post reprend cette assertion sans donner de sources précises). Et on ignore l’impact potentiel. Par exemple, la faille peut-elle servir à voler des certificats numériques de services Internet comme Google ? Et dans ce cas, détourner le trafic Web vers des sites infectés de malware…

Ce qui engendrerait un vaste renouvellement des certificats de sécurité exploités par les navigateurs (Google Chrome, Firefox, Internet Explorer…) pour guider les internautes dans leurs sessions de surf. Un scénario qui serait susceptible de provoquer des ralentissements d’accès à des sites Web, estime Johannes Ullrich, expert du SANS Internet Storm Center.

Quiz : Connaissez-vous les VPN ?

Credit photo : Shutterstock.com –  Copyright: wwwebmeister

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago