Quelques questions sur Heartbleed

Heartbleed est le nom donné à une importante... (PHOTO PAWEL KOPCZYNSKI, ARCHIVES REUTERS)

Agrandir

Heartbleed est le nom donné à une importante faille de sécurité officiellement découverte dans la nuit de lundi à mardi.

PHOTO PAWEL KOPCZYNSKI, ARCHIVES REUTERS

Q Qu'est-ce que Heartbleed?

R C'est le nom donné à une importante faille de sécurité officiellement découverte dans la nuit de lundi à mardi. Elle touche le protocole de cryptage OpenSSL, utilisé par de très nombreux sites web pour permettre l'échange sécuritaire de renseignements privés.

Quiconque utilise cette faille peut accéder à la mémoire du serveur vulnérable, où il pourra voir passer «en clair» des informations qui devraient normalement être cryptées.

Q Quelles informations sont mises à risque par Heartbleed?

R À peu près toutes. Cela inclut les clés de cryptage elles-mêmes, les noms d'utilisateurs et les mots de passe ainsi que les données qui devraient normalement être protégées, comme les informations bancaires, les courriels ou, dans le cas de l'Agence du revenu, les renseignements fiscaux.

En plus de colmater la brèche, les sites internet touchés doivent donc modifier leurs clés de cryptage et demander à leurs utilisateurs de faire de même avec leurs mots de passe, puisque ces informations peuvent avoir été saisies.

Q Quelle est son importance?

R «De nos jours, la complexité des logiciels fait en sorte que les vulnérabilités sont inévitables», explique Daniel Gaudreau, chef de la sécurité de l'information pour l'entreprise spécialisée Above Security, de Boisbriand.

«Ce qui va faire la différence, c'est la facilité d'utiliser cette vulnérabilité sans laisser de trace et la nature des informations que l'on va pouvoir récupérer.»

Et à ce chapitre, reconnaît-il, «on n'en a pas vu souvent qui avaient cette portée-là».

«C'est un peu comme si la recette pour produire une clé maîtresse qui serait capable de débarrer presque toutes les serrures avait été publiée sur l'internet.»

Q Quels sont les sites affectés?

R D'un point de vue technique, la faille touche tous les sites utilisant les versions 1.0.1 à 1.0.1f d'OpenSSL.

Selon des statistiques consultées par M. Gaudreau, environ 13% des 1000 plus grands sites internet étaient vulnérables. Les sites de Yahoo!, entre autres, faisaient partie du lot, mais apparemment pas ceux de Facebook, Google ou Twitter.

Il n'y aurait pas à s'en faire non plus avec les banques canadiennes, selon M. Gaudreau.

«J'ai la conviction à 100% que toutes les grandes banques canadiennes ont réagi ou n'étaient pas vulnérables.»

Q Comment se prémunir?

R Pour une entreprise dont les serveurs sont touchés, la procédure à suivre «n'est pas douloureuse et prend quelques heures tout au plus», selon M. Gaudreau.

Pour les internautes, le fait d'être sensible à la problématique est déjà un bon point de départ, selon l'expert, qui suggère par ailleurs aux plus prudents de communiquer avec le service à la clientèle d'une entreprise avant de faire affaire avec elle par l'entremise du web, afin de s'assurer que les mesures nécessaires ont été prises.

Q Peut-on être certain que nos informations n'ont pas été volées?

R Non, et c'est le gros problème. Les chercheurs qui ont identifié la faille cette semaine ont annoncé qu'elle affectait des logiciels en circulation en décembre 2011.

Or, puisque son exploitation ne laisse aucune trace, rien ne pourra jamais prouver que quelqu'un d'autre ne l'avait pas déjà découverte et choisi d'en profiter discrètement.

-----------------

Les menaces les plus célèbres de l'histoire

Voici une liste de quelques-unes des plus importantes menaces de sécurité de l'histoire informatique, à laquelle s'ajoutera le bogue Heartbleed.

Le bogue de l'an 2000

Il a donné lieu à lui seul à une industrie qui s'est employée à le corriger à la toute fin des années 90. Probablement à cause de ces mesures, son impact réel n'aura finalement pas été perceptible.

L'inquiétude venait du fait que certains systèmes informatiques n'employaient que deux caractères pour enregistrer l'année dans des dates. On craignait qu'ils ne confondent l'an 2000 avec l'an 1900, ce qui aurait entraîné de nombreux pépins, notamment dans l'univers financier.

Melissa et ILOVEYOU

Melissa fut l'un des premiers virus, en 1999, à utiliser le courriel pour se propager à une vitesse fulgurante. Il se greffait à un fichier Word qui, une fois ouvert, s'envoyait automatiquement aux 50 premiers contacts du carnet d'adresses de la victime.

Sorti l'année suivante, ILOVEYOU employait un procédé similaire, mais ajoutait la corruption de fichiers, notamment les pièces musicales en format MP3 ou les images au format JPG.

Code Red

Celui-ci ciblait les serveurs web plutôt que les ordinateurs individuels. Plus particulièrement les serveurs utilisant les logiciels de Microsoft. Il pouvait infecter un serveur sans intervention humaine et a démontré l'importance de régulièrement mettre ses logiciels à jour. La vulnérabilité qu'il exploitait avait en effet été corrigée un mois plus tôt.

Nimda

Empruntant des méthodes propres à la fois aux virus, aux vers et aux chevaux de Troie, Nimda (Admin écrit à l'envers) s'est répandu à une vitesse folle en septembre 2001. Selon Wikipédia, il ne lui a fallu que 22 minutes pour devenir l'attaque la plus répandue de l'histoire de l'internet.

Le moment choisi, quelques jours après les attaques du 11-Septembre, a engendré des conjectures, mais il n'y avait finalement aucun lien avec le terrorisme.

Les révélations de Snowden

L'ancien consultant de la NSA américaine Edward Snowden a commencé à exposer en mai 2013 les multiples moyens techniques ou administratifs par lesquels les agences de renseignement américaines étaient en mesure d'intercepter des communications sous à peu près toutes leurs formes à l'échelle de la planète.

Même des solutions de cryptage comme celles qui sont vendues par la réputée firme RSA étaient piégées, selon Snowden.




À découvrir sur LaPresse.ca

la boite:4391933:box; tpl:300_B73_videos_playlist.tpl:file;

Les plus populaires : Techno

Tous les plus populaires de la section Techno
sur Lapresse.ca
»

Autres contenus populaires

la boite:219:box
image title
Fermer