Techno

Quelques questions sur Heartbleed

PHOTO PAWEL KOPCZYNSKI, ARCHIVES REUTERS

Heartbleed est le nom donné à une importante faille de sécurité officiellement découverte dans la nuit de lundi à mardi.

Q Qu'est-ce que Heartbleed?

Mis à jour le 10 avr. 2014

Jean-François Codère LA PRESSE

R C'est le nom donné à une importante faille de sécurité officiellement découverte dans la nuit de lundi à mardi. Elle touche le protocole de cryptage OpenSSL, utilisé par de très nombreux sites web pour permettre l'échange sécuritaire de renseignements privés.

Quiconque utilise cette faille peut accéder à la mémoire du serveur vulnérable, où il pourra voir passer «en clair» des informations qui devraient normalement être cryptées.

Q Quelles informations sont mises à risque par Heartbleed?

R À peu près toutes. Cela inclut les clés de cryptage elles-mêmes, les noms d'utilisateurs et les mots de passe ainsi que les données qui devraient normalement être protégées, comme les informations bancaires, les courriels ou, dans le cas de l'Agence du revenu, les renseignements fiscaux.

En plus de colmater la brèche, les sites internet touchés doivent donc modifier leurs clés de cryptage et demander à leurs utilisateurs de faire de même avec leurs mots de passe, puisque ces informations peuvent avoir été saisies.

Q Quelle est son importance?

R «De nos jours, la complexité des logiciels fait en sorte que les vulnérabilités sont inévitables», explique Daniel Gaudreau, chef de la sécurité de l'information pour l'entreprise spécialisée Above Security, de Boisbriand.

«Ce qui va faire la différence, c'est la facilité d'utiliser cette vulnérabilité sans laisser de trace et la nature des informations que l'on va pouvoir récupérer.»

Et à ce chapitre, reconnaît-il, «on n'en a pas vu souvent qui avaient cette portée-là».

«C'est un peu comme si la recette pour produire une clé maîtresse qui serait capable de débarrer presque toutes les serrures avait été publiée sur l'internet.»

Q Quels sont les sites affectés?

R D'un point de vue technique, la faille touche tous les sites utilisant les versions 1.0.1 à 1.0.1f d'OpenSSL.

Selon des statistiques consultées par M. Gaudreau, environ 13% des 1000 plus grands sites internet étaient vulnérables. Les sites de Yahoo!, entre autres, faisaient partie du lot, mais apparemment pas ceux de Facebook, Google ou Twitter.

Il n'y aurait pas à s'en faire non plus avec les banques canadiennes, selon M. Gaudreau.

«J'ai la conviction à 100% que toutes les grandes banques canadiennes ont réagi ou n'étaient pas vulnérables.»

Q Comment se prémunir?

R Pour une entreprise dont les serveurs sont touchés, la procédure à suivre «n'est pas douloureuse et prend quelques heures tout au plus», selon M. Gaudreau.

Pour les internautes, le fait d'être sensible à la problématique est déjà un bon point de départ, selon l'expert, qui suggère par ailleurs aux plus prudents de communiquer avec le service à la clientèle d'une entreprise avant de faire affaire avec elle par l'entremise du web, afin de s'assurer que les mesures nécessaires ont été prises.

Q Peut-on être certain que nos informations n'ont pas été volées?

R Non, et c'est le gros problème. Les chercheurs qui ont identifié la faille cette semaine ont annoncé qu'elle affectait des logiciels en circulation en décembre 2011.

Or, puisque son exploitation ne laisse aucune trace, rien ne pourra jamais prouver que quelqu'un d'autre ne l'avait pas déjà découverte et choisi d'en profiter discrètement.

-----------------

Les menaces les plus célèbres de l'histoire

Voici une liste de quelques-unes des plus importantes menaces de sécurité de l'histoire informatique, à laquelle s'ajoutera le bogue Heartbleed.

Le bogue de l'an 2000

Il a donné lieu à lui seul à une industrie qui s'est employée à le corriger à la toute fin des années 90. Probablement à cause de ces mesures, son impact réel n'aura finalement pas été perceptible.

L'inquiétude venait du fait que certains systèmes informatiques n'employaient que deux caractères pour enregistrer l'année dans des dates. On craignait qu'ils ne confondent l'an 2000 avec l'an 1900, ce qui aurait entraîné de nombreux pépins, notamment dans l'univers financier.

Melissa et ILOVEYOU

Melissa fut l'un des premiers virus, en 1999, à utiliser le courriel pour se propager à une vitesse fulgurante. Il se greffait à un fichier Word qui, une fois ouvert, s'envoyait automatiquement aux 50 premiers contacts du carnet d'adresses de la victime.

Sorti l'année suivante, ILOVEYOU employait un procédé similaire, mais ajoutait la corruption de fichiers, notamment les pièces musicales en format MP3 ou les images au format JPG.

Code Red

Celui-ci ciblait les serveurs web plutôt que les ordinateurs individuels. Plus particulièrement les serveurs utilisant les logiciels de Microsoft. Il pouvait infecter un serveur sans intervention humaine et a démontré l'importance de régulièrement mettre ses logiciels à jour. La vulnérabilité qu'il exploitait avait en effet été corrigée un mois plus tôt.

Nimda

Empruntant des méthodes propres à la fois aux virus, aux vers et aux chevaux de Troie, Nimda (Admin écrit à l'envers) s'est répandu à une vitesse folle en septembre 2001. Selon Wikipédia, il ne lui a fallu que 22 minutes pour devenir l'attaque la plus répandue de l'histoire de l'internet.

Le moment choisi, quelques jours après les attaques du 11-Septembre, a engendré des conjectures, mais il n'y avait finalement aucun lien avec le terrorisme.

Les révélations de Snowden

L'ancien consultant de la NSA américaine Edward Snowden a commencé à exposer en mai 2013 les multiples moyens techniques ou administratifs par lesquels les agences de renseignement américaines étaient en mesure d'intercepter des communications sous à peu près toutes leurs formes à l'échelle de la planète.

Même des solutions de cryptage comme celles qui sont vendues par la réputée firme RSA étaient piégées, selon Snowden.

Techno En continu

Techno

Polar Grit X Pro 2 Sportive de haut niveau

Avec ses cartes téléchargeables, sa batterie de capteurs, sa précision imbattable et son autonomie d’une douzaine de jours, la Polar Grit X Pro 2 est une montre intelligente de haut calibre d’abord dédiée au sport. Ce qui ne l’empêche pas d’être un agréable compagnon au quotidien, même si son interface nous semble encore mystérieuse. Et son prix est lourd.

Publié à 8h30
Techno

Le Royaume-Uni veut s’attaquer aux algorithmes pour protéger les enfants

(Londres) Les autorités britanniques ont sommé mercredi les réseaux sociaux de modifier leurs algorithmes pour empêcher les enfants d’être exposés à des contenus nocifs et de mieux contrôler l’âge de leurs utilisateurs, faute de quoi ils s’exposeront à des amendes.

Publié à 7h45
Techno

Entrevue avec M^eClément Camion, de la firme En Clair « Les interfaces trompeuses ne sont pas une fatalité »

Chronomètre pour bousculer l’acheteur, menus inutilement complexes pour vous déboussoler, abonnements obtenus sans réel consentement : le web regorge de ce qu’on appelle des « interfaces trompeuses », dark patterns en anglais. Des experts comme M^eClément Camion, de la firme En Clair, les débusquent. Entrevue.

Publié à 1h03 Mis à jour à 6h00
Techno

Menace de bannir l’application TikTok porte plainte contre les États-Unis

(San Francisco) TikTok et sa société mère chinoise ByteDance ont porté plainte mardi contre les États-Unis, estimant que la loi qui pose un ultimatum à la populaire plateforme de vidéos, et risque de la bannir du pays l’année prochaine, est « inconstitutionnelle ».

Publié hier à 16h57
Techno

Menace de bannir l’application TikTok porte plainte contre les États-Unis

(San Francisco) TikTok et sa maison mère chinoise ByteDance ont porté plainte mardi contre les États-Unis, estimant que la loi qui pose un ultimatum à la populaire plateforme de vidéos, et risque de la bannir du pays l’année prochaine, est « inconstitutionnelle ».

Publié hier à 12h38
Techno

Jeu vidéo Nintendo promet une annonce sur le successeur de la Switch d’ici fin mars 2025

(Tokyo) Le japonais Nintendo a annoncé mardi que des informations sur le très attendu successeur de sa console Switch, âgée de plus de sept ans, seront communiquées d’ici fin mars 2025, tout en livrant de nouvelles prévisions financières extrêmement prudentes.

Publié hier à 6h32
Techno

Sony forcé de faire machine arrière face à la révolte des joueurs de Helldivers 2

(Paris) En voulant imposer aux joueurs PC de « Helldivers 2 », un jeu de tir coopératif très populaire, de s’inscrire sur son service en ligne Playstation Network, le géant du jeu vidéo Sony a provoqué une fronde qui l’a poussé à revenir sur sa décision.

Publié le 6 mai
Techno

États-Unis Des démocrates critiquent la politique publicitaire de Meta

(Atlanta) Plusieurs démocrates ont envoyé une lettre à la société mère de Facebook, lui demandant de cesser d’autoriser les publicités prétendant que l’élection présidentielle de 2020 a été volée.

Publié le 3 mai
Techno

Vie numérique Clins d’œil

Quelques bits de l’actualité numérique

Mis à jour le 1^er mai
Techno

Robots tueurs Le « moment Oppenheimer » de l’intelligence artificielle

Si les gouvernements souhaitent contrôler l’émergence d’une nouvelle génération de machines de mort dotées d’intelligence artificielle (IA), il est minuit moins une. C’est l’avertissement qui leur a été lancé lundi.

Mis à jour le 1^er mai
Techno

Vie numérique Le grand ménage techno du printemps

Il n’y a pas que le garage ou la cour qui ont besoin d’un bon ménage du printemps. Vos appareils, particulièrement les ordinateurs, les téléphones et plus globalement votre réseau internet, méritent de temps en temps quelques soins pour retrouver leur rapidité. Voici neuf conseils, trois pour chaque département, récoltés auprès de connaisseurs.

Mis à jour le 1^er mai
Techno

Beats Solo 4 Le compromis chirurgical de D^rDre

Le casque d’écoute Beats Solo 4 a de quoi rendre perplexes les critiques. Totalement intégré à l’écosystème Apple, il est remarquable par sa portabilité, son autonomie de 50 heures et la précision du son. Mais cette précision confine à la sécheresse, il n’est pas recommandé dans des environnements bruyants et sa configuration est minimale.

Publié le 30 avril
Techno

Sonicare DiamondClean Smart 9350 Un mentor pour les dents

Sans être aussi bardée de fonctions que ses rivales haut de gamme d’Oral-B, la brosse à dents électriques Sonicare DiamondClean Smart 9350 a quelques atouts bien à elle : un brossage guidé, des avertissements clairs pour les étapes et, coquetterie, un socle-chargeur en forme de verre.

Publié le 29 avril
$Qui pourrait acheter TikTok ? ¯\_(ツ)_/¯$

Techno

Qui pourrait acheter TikTok ? ¯\_(ツ)_/¯

La loi signée mercredi par le président Biden donne à TikTok un an pour trouver un propriétaire non chinois, sous peine d’être interdit aux États-Unis. Cet ultimatum au propriétaire de TikTok, le géant techno chinois ByteDance, semble simple. Mais ce n’est pas le cas. Voici trois questions auxquelles il n’y a pas de réponse claire.

Mis à jour le 27 avril
01:16

Techno

Le fabuleux destin de Kabosu, chienne star emblème du dogecoin

(Sakura) La chienne d’Atsuko Sato est devenue mondialement célèbre avec une photo qui a inspiré une vague de blagues décalées en ligne et l’emblème du dogecoin, une cryptomonnaie créée à l’origine pour plaisanter, mais dont Elon Musk s’est entichée.

Publié le 26 avril
Techno

Les États-Unis rétablissent l’accès égalitaire à internet, aboli par Trump

(Washington) L’autorité américaine des télécoms a décidé jeudi de rétablir le principe de « neutralité du net », qui garantit l’accès égalitaire à internet et que l’administration Trump avait aboli.

Publié le 25 avril