Cet article date de plus d'onze ans.

Faut-il s'inquiéter de la faille "Heartbleed" sur internet ?

Nouveau monde Nicolas Arpagian Le samedi à 17h50, 20h20 et 22h22, le dimanche à 17h52, 20h55 et 22h52

Une énorme faille informatique menace le Web. Grave ou pas grave ?

Jérôme Colombain

Radio France

Publié le 09/04/2014 20:54 Mis à jour le 09/05/2014 23:31

Temps de lecture : 2min

Sur le papier, c'est grave. Très grave, cette faille. Rien
que le nom fait peur : "Heartbleed" ("cœur qui saigne"). Ce sont
les experts en sécurité informatique qui nomment les failles et les virus. Ils
n'y vont pas avec le dos de la cuillère, parfois. Là, c'est un expert de chez
Google qui, le premier, aurait mis au jour cette faille de sécurité.

De quoi s'agit-il ?

Tout le monde connaît le petit cadenas qui s'affiche sur certains
sites Web lorsque l'on consulte sa messagerie ou que l'on sort sa carte
bancaire pour régler un achat. Un petit cadenas qui indique la sécurité est
activée et que l'on peut tranquillement taper ses codes secrets. C'est le
système de cryptage OpenSSL. Un mécanisme gratuit utilisé par de très nombreux
sites Web dans le monde. Le problème vient précisément de ce système SSL qui
serait compromis à cause d'une erreur de programmation . C'est un peu comme si un
modèle de serrure utilisée dans le monde entier se révélait soudain défectueux
et que des cambrioleurs puissent ouvrir les portes comme qui rigole.

Quelles conséquences ?

On va se faire peur : cette faille pourrait
menacer toutes les transactions sur Internet. Des pirates pourraient exploiter
cette faille pour dérober des données confidentielles comme des identifiants
bancaires. On parle de deux serveurs sur trois concernés . Cependant, l'estimation
réelle est difficile à établir. Parmi les géants du Net, Yahoo! serait touché
mais pas Apple, Google, Microsoft, ni Facebook. La majorité des sites
d'e-commerce et bancaires seraient également épargnés. Chaque site Web utilise
la serrure en question à sa façon. En plus, il existe plusieurs versions et
toutes ne sont pas affectées. C'est pour cela que tous les sites ne sont pas
vulnérables .

Cependant, selon les experts informatiques, cette faille existerait depuis deux ans . Donc, allez savoir si des pirates ne l'ont pas
déjà exploitée. Il s'agit d'une faille "zero day", c'est-à-dire
qu'elle n'avait jamais été découverte avant.

Heureusement, un "patch" de sécurité a été mis
au point . C'est maintenant aux sites Web concernés de faire la mise à jour,
c'est-à-dire de réparer la serrure, pour colmater la brèche. Certains services
pourraient être momentanément suspendus.