La faille de sécurité Heartbleed permet à d’éventuels pirates de récupérer des informations stockées sur la mémoire des serveurs du site vulnérable….
La faille de sécurité Heartbleed permet à d’éventuels pirates de récupérer des informations stockées sur la mémoire des serveurs du site vulnérable. Des informations personnelles censées être inaccessibles et protégées: plusieurs experts sont aisément parvenus à retrouver des mots de passe d’utilisateurs de sites vulnérables.
«Le nombre d’attaques qu’ils peuvent effectuer est sans limite», indique Fox-IT, entreprise spécialisée dans la sécurité informatique. Mais s’il s’agit d’une faille majeure, ses contours précis et sa portée réelle sont encore flous.
Enfin, il est envisageable que les certificats, sorte de clé de voûte de la sécurisation des données par TLS/SSL, censés être privés et très protégés, aient été rendus accessibles par la faille. Ce qui signifie que même lorsque la faille d’OpenSSL sera corrigée et la nouvelle version appliquée aux sites vulnérables, des assaillants qui ont préalablement intercepté la clé nécessaire au déchiffrement des données protégées seront encore en mesure d’y accéder.
«Ce sont les joyaux de la couronne, les clés de chiffrement elles-mêmes», souligne le site Heartbleed.com. Ces clés «permettent aux pirates de déchiffrer tous les trafics, passés et à venir, vers les services protégés et d’imiter ces services».
Il est également possible que les «cookies», ces fichiers qui stockent vos identifiants sur un site afin de vous identifier, soient également accessibles, ce qui permet potentiellement à un assaillant de se connecter en votre nom au site en question.
Adam Langley, un informaticien de Google qui a participé à la correction de la faille, est cependant plus mesuré, et explique n’avoir pu accéder lors de ses tests qu’à des informations très parcellaires.
Source : lemonde.fr