Une faille de sécurité sur Internet a touché un site sur deux. Baptisée Heartbleed, elle a mis en émoi les spécialistes informatiques. Quelle est sa nature ? Son ampleur ? Quels sont les risques pour les internautes ? Éléments de réponse.

Des spécialistes informatiques ont mis en garde ce mardi contre une importante faille dans un procédé de cryptographie utilisé par la moitié des sites internet, qui permet aux pirates de pénétrer dans les ordinateurs pour y récupérer codes et mots de passe. La faille, baptisée «heartbleed» («coeur qui saigne»), a été découverte sur le logiciel OpenSSL, qui est utilisé pour protéger ses mots de passe, ses numéros de carte bancaire ou d'autres données sur internet.

• Qu'est-ce que le bug Heartbleed?

Heartbleed est une faille de sécurité touchant la bibliothèque de cryptage en libre accès OpenSSL. OpenSSL, c'est une technologie qui permet, sur un site Internet, de chiffrer des données. En clair, de les sécuriser. Or, l'absence de vérification d'une des extensions du système a pu permettre à des pirates de s'introduire dans des serveurs protégés et de visualiser ainsi 64 ko de mémoire décryptée sur chacun de ces serveurs, sans laisser la moindre trace. Un site dédié à cette faille a été lancé cette semaine (en anglais).

• De quand date Heartbleed?

Découverte récemment par des chercheurs de Codenomicon et Google Security, la faille existerait depuis décembre 2011 et aurait été accrue par la mise à jour d'OpenSSL en mars 2012. N'ayant été corrigée que lundi dernier, elle a donc pu être «utilisée» pendant deux ans!

• À quoi le bug permet-il d'accéder?

Heartbleed a laissé en accès libre des données qui peuvent être classées en trois niveaux. En bas de l'échelle, les données transmises par les internautes aux serveurs: emails, messages instantanés, données bancaires, etc. Au-dessus, les éléments supposés protéger ces données: les identifiants et les mots de passe. À l'étage supérieur, et c'est là l'élément le plus inquiétant: les clés de chiffrement permettant de sécuriser les sites. Ces clés «permettent aux pirates de décrypter tous les trafics, passés et à venir, vers les services protégés et d'imiter ces services».

• Qui est touché?

La bibliothèque de cryptage OpenSSL est utilisée par de nombreux serveurs Web, comme Apache et Nginx, qui représentent à eux deux 66% du marché, mais aussi par des protocoles d'emails (SMTP, POP, IMAP) et des réseaux privés (VPN). Cependant, les nombreux sites restés fidèles au traditionnel système de cryptage SSL/TLS sont épargnés, et parmi les serveurs utilisant OpenSSL, seuls ceux équipés de la version 1.0.1 sont touchés. Il est difficile d'affirmer si les grands acteurs du web ont été attaqués ou non, mais un site tente de répondre à cette question. Alors que Yahoo! semblait avoir été victime de la faille, la firme de Sunnyvale a fait le nécessaire, tout comme Google, Facebook, Twitter ou encore le service de stockage Dropbox.

• Comment le régler?

Fixed OpenSSL, la version corrigée du protocole, a été mise au point mais doit désormais être déployée. Ce n'est qu'une fois la mise à jour faite que les utilisateurs concernés pourront reprendre sans crainte leur navigation. Ou plutôt presque sans crainte, car comme le précise l'expert en sécurité Michael Kreps cité par 20 Minutes, «si des hackers ont réussi à dérober des clés de cryptage, ils pourront les utiliser plus tard. Pour protéger ses utilisateurs, un site doit déposer de nouvelles clés et renouveler son certificat de sécurité, ce qui coûte souvent de l'argent».