Heartbleed, une faille informatique qui s'aggrave tous les jours



Mardi 15 Avril 2014

Cela fait maintenant plus d'une semaine que la faille de sécurité découverte sur le logiciel libre OpenSSL et baptisée "Heartbleed" a fait l'objet d'une alerte mondiale. Et pour cause, tous les jours les experts informatiques s'alarment un peu plus des conséquences potentielles de ce qui serait "une erreur de programmation d'un développeur allemand".


Heartbleed est inquiétant à plus d'un titre. D'abord parce que ce bug, permettant à des pirates informatiques de s'emparer des données personnelles sur chaque site utilisant le protocole OpenSSL, est présent sur toutes les versions du logiciel sorties depuis mars 2012. Ensuite parce que toute intrusion est impossible à repérer et enfin parce que tout type de site transactionnel ou presque est susceptible d'utiliser OpenSSL, que ce soit des sites bancaires, de e-commerce, de jeux ou de réseaux sociaux.

Rester à l'écoute des mises à jour

Les uns après les autres, les Facebook, Twitter, Yahoo!, Google ou encore Dropbox... tentent de rassurer les internautes et communiquent sur leurs actions de protection contre Heartbleed. Néanmoins, il reste fortement conseillé de modifier ses mots de passe sur tous les sites ayant annoncé avoir fait une mise à jour du logiciel.

Faut-il aller plus loin et modifier systématiquement tous ses mots de passe sur tous les sites transactionnels fréquentés ? Non, conseille Graham Cluley, expert en sécurité informatique "Ne changez vos mots de passe que sur les sites ayant confirmé avoir réglé le problème. Les modifier sur tous les sites augmenterait en réalité le risque que vos données personnelles soient interceptées par des pirates qui profiteraient de la faille avant sa disparition". Quoiqu'il en soit, il est hautement conseillé de surveiller ses comptes bancaires afin de détecter le plus rapidement possible toute transaction suspecte.

Et si l'ensemble des sites concernés finissent par effectuer la mise à jour leur permettant de ne plus être vulnérable, il y a fort à parier que Heartbleed, même après sa disparition, continuera à faire parler de lui. Bloomberg a en effet dévoilé le vendredi 11 avril que la NSA connaissait l'existence de la faille depuis 2 ans et que l'agence s'en serait servie pour détourner des informations à son profit. Allégations que la NSA s'est évidemment empressée de nier en bloc, soutenue par la porte-parole du Conseil de sécurité nationale américain (organisme dépendant directement de la Maison Blanche). Alors, Heartbleed est-il un nouvel épisode dans la série des scandales sur l'espionnage mondial orchestré par la NSA ?

Notez