Une faille de sécurité sans précédant secoue le monde entier

Depuis quelques jours le monde d’internet, et plus particulièrement les banques et les boutiques en lignes sont en panique depuis qu’ils ont appris l’existence de ce qui est considéré comme la plus grosse faille de sécurité du monde : Heartbleed.

Le bug le plus grave du monde

Vous avez surement déjà remarqué, ou lu/vu dans les conseils données aux consommateurs qui achètent sur internet, une petit cadenas à coté de la barre d’adresse et un https vert ? Cela signifie que le site internet sécurise les données qui transitent entre votre ordinateur et le site internet. Pour le faire, le site utilise un protocole SSL qui va crypter toutes les données échangées, par exemple vos informations personnelles ou des coordonnées bancaires. Jusqu’ici tout allait bien, SSL était considéré le meilleur protocole utilisable en ligne et de fait le plus utilisé.

Mais voici qu’on découvre il y a quelques jours à peine que SSL contenait une faille de sécurité depuis 2 ans qui permettait de casser son cryptage ! Autrement dit, une personne qui savait exploiter cette faille pouvait récupérer de manière lisible les données échangées même sur un site sécurisé (comme une plate-forme de paiement en ligne !). Et oui, cela a créé une sacrée panique dans le monde entier : cette catastrophe a même été notée à 11/10 sur l’échelle de la gravité par l’expert de la cryptographie Bruce Schneier.

Ne paniquez pas ! Nous n’en sommes pas encore à la fin du monde moderne, calmez-vous et arrêtez de piller les commerces du coin 😉 Les spécialistes se sont tout de suite mis au travail pour corriger cette faille. En attendant il est vivement conseillé de changer de mot de passe sur certains services, voici une liste de quelques sites :

  • Facebook
  • Instagram
  • Pinterest
  • Tumblr
  • Google
  • Yahoo
  • Gmail
  • Yahoo Mail
  • Amazon Web Services
  • Flickr
  • Netflix
  • SoundCloud
  • YouTube
  • Dropbox
  • GitHub
  • IFTTT
  • OKCupid
  • Wikipedia
  • Wunderlist

Pour avoir la liste complète, rendez-vous sur cet article.

La NSA aurait été au courant

De sérieuses suspicions pèsent sur la NSA qui est accusée d’avoir connu (et beaucoup utilisé) cette faille  sans pour autant en avertir les créateurs d’openSSL. La NSA dément bien évidemment en disant qu’elle aurait prévenu les intéressés si elle avait su mais beaucoup de journalistes et professionnels ne sont pas convaincus.

La NSA a toujours dépensé des grosses sommes dans la recherche pour pouvoir cracker les codes avec l’aide d’entreprises spécialisées. Par ailleurs des sources anonymes révèlent que c’était une pratique courante dans cette organisation pour pouvoir récupérer des mots de passes. Sachant que la NSA a l’autorisation du président d’exploiter ce type de failles pour la sécurité nationale.

Certains pensent même que cela va plus loin. A priori cette faille n’est qu’un bug introduit par erreur. Mais si cela avait été volontairement inséré ? Des théories suggèrent qu’un (ou des) développeur d’openSSL, lié à la NSA, aurait pu le faire pour que l’organisation puisse mieux « se renseigner ».

Bref sans rentrer dans la théorie du complot, il faut savoir que ces scénarios sont tout à fait possibles !

Vous avez aimé ?


Vous pouvez laisser un commentaire

Laissez un commentaire