Heartbleed, un objet technologique non identifié

Derrière un nom qui paraît être le titre de la dernière comédie romantique se cache la plus importante faille de sécurité révélée jusqu’à présent. Comportant des risques pouvant aller du vol d’identité à la falsification de données bancaires, Heartbleed est un objet technologique non identifié faisant appel aux techniques de cryptage informatique.

Heartbleed est une faille de sécurité qui affecte le logiciel de chiffrement de données OpenSSL. Celui-ci met à la disposition des sites internet différents modes de transmission sécurisés des données sensibles (ex. : chiffrement, encodage ou hachage).

Pour faire parvenir un message d’un ordinateur A à un ordinateur B de façon sécurisée, le site internet va utiliser un chiffrement contenant un langage public et une clé privée spécialement générée pour la transmission de ce message entre A et B. Le langage public c’est la transcription du message, le message va ensuite être envoyé par paquets (c’est-à-dire en différents morceaux). C’est une fois arrivé à B que la clé de chiffrement va permettre de reconstituer les différents paquets en message.

Heartbleed est une faille qui permet à un individu extérieur de s’introduire dans les serveurs d’OpenSSL et d’intercepter ces informations. Il suffit alors à C de regarder dans le serveur lorsque les messages arrivent pour leur chiffrement, C peut alors collecter le contenu et récupérer des identifiants de connexions pour ensuite se faire passer pour B.

Pourquoi en parle-t-on autant ?

La spécificité de la faille vient du fait qu’elle dure depuis 2012 et qu’il est pour le moment impossible de faire la liste des données qui ont été décryptées.

Plus de la moitié des sites internet utilisent l’OpenSSL et la réparation de la faille implique de vérifier l’ensemble des serveurs des sites internet qui utilisent la version infectée et de voir si ceux-ci sont désormais sécuritaires. Même si la plupart des sites internet affectés ont fait le nécessaire pour protéger leurs utilisateurs, cette réparation ne peut se faire en quelques jours et nécessitera encore des vérifications.

Les risques les plus importants peuvent aller du vol d’identité à la falsification de vos données bancaires. Le premier exemple public d’utilisation de la faille est le vol par un jeune ontarien de 900 numéros d’assurance sociale (NAS) auprès de l’agence du revenu du Canada (ARC). L’homme ayant profité de la faille pour s’introduire dans les serveurs de l’ARC et dérober 900 NAS doit être inculpé pour « utilisation non autorisée d’un ordinateur » et « méfait concernant des données ». Ces infractions sont toutes deux prévues aux articles 342.1 et l’article 430.1.1 du Code criminel respectivement. Elles sont passibles d’un emprisonnement pouvant aller jusqu’à 10 ans.

Que faire?

Une plateforme permet actuellement aux internautes de vérifier si un site est affecté par la faille. Pour le moment, il est préconisé de changer régulièrement ses mots de passe, s’ils sont gérés par un site qui utilise OpenSSL, jusqu’à ce que le site en question ait annoncé qu’il a vérifié et sécurisé l’ensemble de ses serveurs.