Heartbleed : quels sont les risques liés à l'incroyable faille d'Internet ?

Heartbleed : quels sont les risques liés à l'incroyable faille d'Internet ? Un bug dans des systèmes de sécurité permet aux pirates de récupérer mots de passe, codes et même données bancaires. Les spécialistes donnent l'alerte.

Les internautes ont l'habitude depuis des années d'entrer mots de passe, numéros de cartes bancaires et autres codes sur le Net. Toujours avec l'appui des logiciels d'encodage, qui permettent aux sites Internet de crypter ces données. Ce mardi 9 avril, des experts de l'informatique mettent en garde tous les utilisateurs contre une faille découverte sur l'un de ces logiciels, l'OpenSSL, utilisé par la moitié des sites Internet. Pour rentrer dans le détail, il s'agit de ce que l'on appelle une "bibliothèque de cryptage" qui chiffre les données - pour les sécuriser - de nombreux serveurs Web, comme par exemple Nginx ou Apache, mais aussi des protocoles d'emails et des réseaux privés.

Les spécialistes précisent que le bug n'est pas présent sur toutes les versions d'OpenSSL, mais qu'il est suffisamment dangereux pour que les internautes restent en alerte. En effet, la faille détectée permet aux pirates de récupérer de très nombreuses données déposées sur le Web. Les spécialistes de Fox-it, une société de sécurité informatique, indiquent que les pirates peuvent accéder à toutes ces données en pénétrant la mémoire des serveurs des ordinateurs, en récupérant notamment le code source des appareils, mais aussi les clés de cryptage, et donc, facilement, les mots de passe. Et ce, depuis près de deux ans.

Doit-on s'inquiéter de Heartbleed ?

Les spécialistes du site Tor Project, qui militent en faveur de l'anonymat sur Internet, lancent un appel à tous ceux qui utilisent de manière régulière ce type de cryptage de données afin qu'ils évitent d'utiliser Internet pendant quelques jours, le temps que les serveurs et les sites aient le temps de corriger leur système de sécurité. Yahoo!, Twitter, Facebook, Dropbox et Google ont déjà indiqué qu'ils avaient fait le nécessaire pour sécuriser leurs sites. Une nouvelle version du protocole, "Fixed OpenSSL" vient tout juste d'être déployée. L'ennui, comme l'indique Fox-it, c'est que les clés récupérées "permettent aux pirates de décrypter tous les trafics, passés, mais aussi à venir, vers les services protégés et d'imiter ces services". A moins que tous les sites du Web concernés ne changent de clés et ne déposent de nouveaux (et coûteux) certificats de sécurité.