Depuis quelques jours, le monde du web n’a qu’un seul mot à la bouche : Heartbleed (littéralement « Cœur qui saigne »), d’ailleurs, certains services que vous utilisez vous ont certainement déjà envoyé un mail pour vous rassurer sur la vulnérabilité ou non de leur outil…
Mais qu’est-ce que c’est vraiment que Heartbleed ?
En termes barbares, il s’agit d’une vulnérabilité sérieuse dans la bibliothèque de logiciels de cryptographie open source (libre) OpenSSL qui permettrait à des individus mal intentionnés d’accéder à la mémoire de certains serveurs grâce au décryptage de sa clé de sécurité
et potentiellement d’accéder aux données personnelles des utilisateurs (nom, mots de passe, informations de paiement…). Et cela concerne plus de 500 000 sites web selon le spécialiste de sécurité Internet Netcraft !
En effet, OpenSSL est un outil permettant de crypter l’information sur le Web et ainsi d’éviter (en théorie) de vous faire subtiliser vos informations sensibles lorsque vous êtes sur un site sécurisé (les fameux https://).
Découverte début avril par l’équipe de sécurité de Google et des ingénieurs de la société Codenomicon, cette faille a été introduite lors d’une mise à jour d’OpenSSL en mars 2012… Gloups…
Et maintenant qu’est-ce qu’il se passe ?
Dans un premier temps, il faut que les sites concernés appliquent une mise à jour d’OpenSSL qui va combler cette faille… ensuite ceux-ci vont vous demander de modifier votre mot de passe (au cas où il aurait été compromis)…
Attention, rien ne sert de modifier votre mot de passe si les sites web concernés n’ont pas appliqué la mise à jour de sécurité… ceux-ci étant toujours vulnérables ! Attendez que le site vous demande de modifier votre mot de passe !
Faut-il s’inquiéter ?
S’il ne faut pas paniquer, il faut néanmoins rester prudent… la faille étant restée ouverte pendant plus de 2 ans, il est important de surveiller toute activité suspecte sur les sites web sécurisés que vous consultez…
Concernant vos données bancaires, la plupart des banques n’utilisent pas OpenSSL pour crypter les données, mais plutôt des outils propriétaires…
Enfin, si vous souhaitez être complètement rassuré, sachez qu’il existe plusieurs sites permettant de vérifier si un site web est toujours affecté par la faille Heartbleed, comme par exemple Filippo.io.
Article mis à jour le 11 juin 2021 par Byothe