• Actus

Faille de sécurité du protocole OpenSSL "Heartbleed" : « l’ultime cauchemar » du web

Cette faille a été introduite par erreur en mars 2014, par un développeur allemand bénévole. Loin de lui l’idée de mettre à nu les données de 600 000 serveurs dans le monde utilisant cette version du protocole OpenSSL en effectuant simplement des corrections et des améliorations de fonctionnalités.

Concrètement, cette faille permet aux hackers d'accéder à la mémoire du serveur et d'y récupérer des informations qui ne devraient pas être publiques. Le fait de pouvoir accéder aux clefs de chiffrement des communications d’un serveur permet aux personnes mal attentionnés de lire en clair les communications supposées être cryptées depuis un serveur.

Par exemple, alors que vous êtes sur un site sécurisé (petit cadenas du navigateur) vous faites une transaction avec votre carte bleue, toutes les informations que vous avez saisies vont être cryptées pour que personne ne puisse "lire" ces échanges entre vous (votre navigateur) et le serveur qui va traiter la transaction. Enfin, en théorie… Parce que dans les faits, les informations peuvent être décodées avec les clefs, et donc accédées par quelqu'un malgré le cryptage. L’impossibilité de détecter ni l’attaque à l’origine (pour récupérer les clefs), ni celle d'après (pour décrypter la communication cryptée) rendent le sujet encore plus controversé.

Informé de cette faille qui touchait certains de ses serveurs, SIWAY a fait le nécessaire en régénérant tous les certificats de sécurité concernés.

Il est recommandé de vérifier si les sites que vous utilisez ont été concernés par la faille, si elles ont été corrigées et si les certificats ont été changés et surtout, de changer tous vos mots de passe. En espérant qu’avec tous ces scandales, la sécurité devienne enfin un vrai sujet. 

Cet article vous a plu ?
Laissez-nous votre email pour recevoir les prochains
Invalid Input