{"id":2866,"date":"2014-04-10T10:21:53","date_gmt":"2014-04-10T10:21:53","guid":{"rendered":"http:\/\/kasperskydaily.com\/france\/?p=2866"},"modified":"2020-02-26T15:46:48","modified_gmt":"2020-02-26T15:46:48","slug":"limpact-de-la-vulnerabilite-heartbleed","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/limpact-de-la-vulnerabilite-heartbleed\/2866\/","title":{"rendered":"La vuln\u00e9rabilit\u00e9 « Heartbleed » pourrait compromettre votre s\u00e9curit\u00e9 sur des milliers de sites"},"content":{"rendered":"

Mise \u00e0 jour #1: La version pr\u00e9c\u00e9dente de cet article affirmait (bas\u00e9e sur une liste de Github) que les utilisateurs du site HideMyAss \u00e9taient \u00e9galement affect\u00e9s par Heartbleed. Un porte parole du site nous a contact\u00e9 et nous a affirm\u00e9 que leurs utilisateurs n\u2019\u00e9taient pas affect\u00e9s, nous les avons donc retir\u00e9s de la liste des sites infect\u00e9s.<\/p>\n

Mise \u00e0 jour #2 :\u00a0Cet article a \u00e9t\u00e9 mis \u00e0 jour avec la liste des services affect\u00e9s qui recommandent officiellement aux utilisateurs de changer leurs mots de passe.<\/p>\n

\u00a0<\/p>\n

Vous savez qu\u2019une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 est s\u00e9rieuse quand David Green, journaliste de la radio am\u00e9ricaine NPR, commence son \u00e9dition des informations de 8 heures avec cette nouvelle. Ce fut le cas ce matin, avec l\u2019histoire d\u2019un probl\u00e8me de chiffrement tr\u00e8s s\u00e9rieux \u2013 appel\u00e9 Heartbleed \u2013 dans OpenSSL, certainement la biblioth\u00e8que de chiffrement la plus utilis\u00e9e sur Internet. Si vous ne comprenez pas vraiment ce que tout cela signifie, ne vous inqui\u00e9tez pas, nous allons tout vous raconter dans cet article.<\/p>\n

Quand vous \u00e9tablissez une connexion chiffr\u00e9e<\/a> vers un site Web, qu\u2019il s\u2019agisse de Google, Facebook ou de votre banque en ligne, les donn\u00e9es sont chiffr\u00e9es en utilisant un protocole SSL\/TLS. De nombreux serveurs Web populaires utilisent la biblioth\u00e8que \u00e0 source ouverte, OpenSSL, pour r\u00e9aliser ce travail \u00e0 leur place. Plus t\u00f4t cette semaine, les responsables d\u2019OpenSSL ont sorti une correction pour un bug tr\u00e8s s\u00e9rieux<\/a> dans la mise en place d\u2019une fonctionnalit\u00e9 TLS appel\u00e9e \u00ab\u00a0Heartbeat\u00a0\u00bb et qui pourrait potentiellement r\u00e9v\u00e9ler \u00e0 un pirate jusqu\u2019\u00e0 64K Ko de la m\u00e9moire d\u2019un serveur.<\/p>\n

En d\u2019autres termes, ce d\u00e9faut pourrait permettre \u00e0 tout le monde sur Internet de lire la m\u00e9moire d\u2019une machine prot\u00e9g\u00e9e par une version vuln\u00e9rable de la biblioth\u00e8que. Dans le pire des sc\u00e9narios, ce petit bloc de m\u00e9moire pourrait contenir des informations sensibles : des noms d\u2019utilisateurs, des mots de passe ou m\u00eame des cl\u00e9s priv\u00e9es qui sont utilis\u00e9es par le serveur pour assurer le chiffrement de votre connexion. De plus, exploiter Heartbleed ne laisse aucune trace, il est impossible de savoir si le serveur a \u00e9t\u00e9 pirat\u00e9 et quel genre d\u2019information a \u00e9t\u00e9 vol\u00e9.<\/p>\n

La bonne nouvelle : OpenSSL a r\u00e9par\u00e9 la faille. La mauvaise : il est impossible de garantir que les sites et les serveurs affect\u00e9s par HeartBleed utilisent le patch permettant de la r\u00e9parer. Encore pire : le bug serait apparemment assez facile \u00e0 exploiter et pourrait avoir exist\u00e9 pendant deux ans. Cela signifie que les certificats de s\u00e9curit\u00e9 des sites les plus c\u00e9l\u00e8bres, ainsi que les donn\u00e9es sensibles des utilisateurs, y compris leurs mots de passe, pourraient avoir \u00e9t\u00e9 vol\u00e9s.<\/p>\n

\n
La bonne nouvelle : OpenSSL a r\u00e9par\u00e9 la faille. La mauvaise : il est impossible de garantir que les sites et les serveurs affect\u00e9s par HeartBleed utilisent le patch permettant de la r\u00e9parer.<\/div>\n<\/div>\n

Le plan d\u2019action pour l\u2019utilisateur <\/b><\/p>\n