{"id":3439,"date":"2014-09-22T16:44:32","date_gmt":"2014-09-22T15:44:32","guid":{"rendered":"http:\/\/coralia-wsd.com\/site\/?p=3439"},"modified":"2014-09-22T16:53:37","modified_gmt":"2014-09-22T15:53:37","slug":"heartbleed-opensll-un-protocole-pas-si-securise-que-ca","status":"publish","type":"post","link":"http:\/\/www.coralia-wsd.com\/site\/heartbleed-opensll-un-protocole-pas-si-securise-que-ca\/","title":{"rendered":"Heartbleed-OpenSLL : Un protocole pas si s\u00e9curis\u00e9 que \u00e7a !!!"},"content":{"rendered":"
\n\t
\n\t\t
\n\t\t\t

Le mardi 8 avril, la d\u00e9couverte d\u2019une faille de s\u00e9curit\u00e9 au sein m\u00eame du protocole OpenSSL \u00ab\u00a0Heartbleed\u00a0\u00bb fait trembler le monde des \u00e9changes de donn\u00e9es sensibles sur internet. Mais qu\u2019en est-il vraiment ?<\/p>\n

Qu\u2019est ce que OpenSSL ? :<\/strong><\/span><\/h2>\n

OpenSSL est un logiciel implant\u00e9 sur la plupart des serveurs qui a pour but d\u2019\u00e9tablir et de s\u00e9curiser les connexions entre les sites qu\u2019ils h\u00e9bergent et les internautes. C\u2019est ce software qui, par exemple, permet l\u2019\u00e9change de donn\u00e9es bancaires en toute s\u00e9curit\u00e9 (en th\u00e9orie\u2026). On comprend donc ais\u00e9ment que la plupart des sites e-commerce font appellent \u00e0 ce protocole, mais pas seulement.
\nEn effet la plupart des donn\u00e9es personnelles que nous utilisons couramment sur internet ( login, mot de passe, code bancaire, etc. ) sont crypt\u00e9es et donc utilisent des protocoles de type SSL.<\/p>\n

Quels sites l\u2019utilisent ?<\/strong><\/span><\/h2>\n

Dans les faits quasiment tous\u2026 En effet , \u00e0 partir du moment o\u00f9 vous naviguez sur un site sur lequel vous vous \u00eates enregistr\u00e9s, les donn\u00e9es fournies au site ont forcement du \u00eatre \u00a0sauvegard\u00e9es et donc crypt\u00e9es. Ironie du sort, la plupart des grands sites institutionnels qui pr\u00f4naient une s\u00e9curit\u00e9 absolue sont directement touch\u00e9s : Apple, Mircosoft, Google. Mais cela concerne\u00a0aussi et surtout les sites d\u2019achat et de paiement en ligne tels que : Amazon, Fnac, Cdiscount\u2026 ainsi que tous les r\u00e9seaux sociaux :Facebook,Twitter, Instagram\u2026<\/p>\n

L\u2019utilisation de ce protocole est parfois symbolis\u00e9e par l\u2019ic\u00f4ne en forme de cadenas et le HTTPS au d\u00e9but de l\u2019URL.<\/p>\n

Afin de vous donner une id\u00e9e de l\u2019ampleur du probl\u00e8me , sachez que deux serveurs sur trois utilisent actuellement ce protocole \u00e0 travers le monde.<\/p>\n

Qu\u2019est ce que la faille OpenSSL ou Heartbleed?<\/strong><\/span><\/h2>\n

La faille de s\u00e9curit\u00e9 au c\u0153ur du protocole OpenSSL rebaptis\u00e9e depuis Heartbleed (en fran\u00e7ais \u2018le\u00a0c\u0153ur\u00a0qui saigne\u2019)<\/em> permet aux pirates exp\u00e9riment\u00e9s de r\u00e9cup\u00e9rer des donn\u00e9es sensibles stock\u00e9es dans le centre qui h\u00e9bergent les sites.<\/span><\/p>\n

\u00ab Ce sont les joyaux de la couronne, les cl\u00e9s de chiffrement elles-m\u00eames \u00bb, souligne le site\u00a0Heartbleed.com<\/a>. Ces cl\u00e9s \u00ab permettent aux pirates de d\u00e9chiffrer tous les trafics, pass\u00e9s et \u00e0 venir, vers les services prot\u00e9g\u00e9s et d\u2019imiter ces services \u00bb.<\/p>\n

De plus, il semblerait que les \u00ab\u00a0Cookies\u00a0\u00bb : fichiers qui gardent en m\u00e9moire certaines informations vous concernant, soient \u00e9galement affect\u00e9es. En d\u2019autres thermes, il est donc possible qu\u2019une personne mal intentionn\u00e9e puisse le cas \u00e9ch\u00e9ant se connecter en votre nom.<\/p>\n

Quelle solutions sont envisag\u00e9es ?<\/strong><\/span><\/h2>\n

\u00c0\u00a0l\u2019\u00e9chelle locale, la solution utopique qui consisterait \u00e0 se couper du web \u00a0durant la temp\u00eate est envisageable bien que compl\u00e8tement inutile. En effet m\u00eame si vous pouvez vous passer de Gmail, Facebook et de ne pas faire d\u2019achat en ligne pendant cette sombre p\u00e9riode, sachez que le mal est fait et \u00a0que vos donn\u00e9es personnelles restent potentiellement vuln\u00e9rables.<\/p>\n

Une autre r\u00e9action logique et plus mod\u00e9r\u00e9e serait donc de changer les mots de passe de tous les sites sur lesquels nous sommes enregistr\u00e9s (un bon week-end en perspective), mais sachez que cela est inutile voir contre-productif. En effet, tant que le probl\u00e8me de la faille ne sera pas r\u00e9solu sur les sites en question, les nouvelles informations \u00a0transmissent aux serveurs seront toujours autant expos\u00e9es.<\/p>\n

Quel est la position des principaux sites expos\u00e9s ?<\/strong><\/span><\/h2>\n

Que ce soit Facebook, Google ou Twitter, \u00a0les plus grands professionnels du secteur n\u2019ont pas tard\u00e9 \u00e0 r\u00e9agir que ce soit du point de vue de la communication que du point de vue technique. Voici quelques extraits des diff\u00e9rentes r\u00e9actions :<\/p>\n

\n