Conséquence d’Heartbleed: une surveillance accrue sur openSSL

La fondation linux a annoncé récemment une très bonne nouvelle: les protocoles critiques du monde libre seront entretenus à plein temps par des développeurs salariés.

Cette manœuvre est financée par de grandes entreprises comme Adobe ou HP. Elle est organisée par la fondation linux et son jeune projet Core Infrastructure Initiative (CII).

Le but est simple: des entreprises donnent de l’argent à la CII, qui engage des gens très compétents pour auditer et améliorer les protocoles les plus utilisés du monde libre. Cela permettra d’éviter qu’une faille comme Heartbleed passe à nouveau inaperçue si longtemps. D’ailleurs les premiers protocoles à bénéficier de cette opération seront Network Time Protocol, OpenSSH and OpenSSL. Ce dernier subira un audit complet conduit par Open Crypto Audit Project.

Source: linux foundation

HeartBleed

Hello les techos! Vous avez surement lus diverses choses sur HeartBleed, un bug révélé il y a maintenant deux semaines qui a secoué tout l’Internet. Si ce n’est pas le cas, lisez ce qui suit avec attention car votre sécurité en ligne est en jeu !

HeartBleed, c’est quoi?

HeartBleed est un bug du logiciel openSSL. Il a été révélé au grand public le 1er avril 2014 mais existe vraisemblablement depuis deux ans.

Son nom qui signifie saignement de cœur est lié au terme heartbeat, battement de cœur, qui est un protocole utilisé dans le SSL.

Pour faire simple, quand vous utilisez une connexion sécurisée sur internet, votre navigateur discute avec le serveur de manière encryptée, c’est SSL. De nombreux serveurs, comme ceux de facebook, google, microsoft et au moins 500000 autres sites web dans le monde utilisent un programme gratuit et open source appelé openSSL pour ne pas avoir à programmer cette sécurité eux même.
Seulement, lors de cette échange de donné, la connexion est maintenue par une sorte de ping pong entre le serveur et votre pc, le battement de cœur, et Heartbleed, permet, en trichant un peu dans la demande de battement de cœur, d’obtenir des données que le serveur ne devrait pas offrir au clients. Pour les hardcores, les infos techniques sont par ici, pour les autres, ça marche grosso modo comme ça:

image

Ou est le problème?

Le problème c’est que n’importe qui d’un peu compétent et mal intentionné peu lire les informations contenues sur un serveur: Mots de passe du site, mais aussi données bancaire, bases clients, numéros de carte bleu…

Sachez donc que n’importe quelle donnée que vous avez confié à un site web sécurisé ces deux dernières années est susceptible d’être perdu dans la nature.

Que faire pour se protéger?

Le boulot principal revient aux administrateurs serveurs des sites concernés, ils doivent mettre à jour vers la version corrigé d’openSSL qui corrige le bug.

Vous, vous devez absolument changer vos mots de passe sur tous les sites concernés, sauf si vous utilisez la double identification.

Et si vous ne l’utilisez pas, mettez vous à l’utiliser. C’est très simple, dans les options des sites, il y a un endroit pour l’activer. Une fois que c’est fait, lorsque vous vous connectez à un site depuis un autre ordinateur que d’habitude vous devez fournir un code supplémentaire qui vous est fourni par mail, sms, ou une application de votre smartphone.

La plupart des sites importants proposent ce service: Google, Facebook , Twitter, Yahoo, Apple, Microsoft, LinkedIn, Paypal

Et après?

Un des problèmes dans cette histoire, maintenant qu’elle est en voie d’être réglé, c’est la malhonnêteté de certaines entités. Par exemple, la NSA connaissait le bug depuis longtemps, et l’exploitait pour obtenir des informations de manière tout à fait illégale. Il y a aussi Google qui a réglé le problème au mois de mars sur ses serveurs et n’a averti personne du bug.

Et malheureusement de nombreux autres bugs du même acabit se prommènent probablement sur notre internet adoré. Alors restez prudents.