Logo Valoxy
Photo extérieur Valoxy

Rue du Pré Catelan
La Madeleine, Nord-Pas-de-Calais
Tél : +33 (0) 3 20 39 33 47

TOP Création
Le « Heartbleed » concerne-t-il les PME ? En quoi ce bug informatique peut-il rendre vulnérable votre système informatique ?
4.3 (86.67%) 3 votes

Le « Heartbleed » concerne-t-il les PME ? En quoi ce bug informatique peut-il rendre vulnérable votre système informatique ?

Le « heartbleed », est un bug informatique dont il faut espérer qu’on en entende parler le moins possible. Découvert récemment et contrôlé lundi dernier grâce à un patch,  cette possible porte ouverte à toutes les données les plus confidentielles (mots de passe, données bancaires, document stratégique, …) peut potentiellement apporter des dégâts importants. Explications.

qu'est ce que heartbleed

Qu’est ce que le bug Heartbleed ?

De quoi s’agit-il ?

Heartbleed est le nom donné à un bug informatique découvert de manière conjointe par une équipe de chercheurs finlandais et par Google. Il met à mal la sécurité du protocole de sécurisation de site « Open SSL ». Cette faille permettrait à un internaute quelconque de contourner la sécurité d’un serveur sans laisser de carte de visite ou même de trace et ce depuis 2011 !

Quand l’adresse d’un site Web est accompagnée d’un petit cadenas et du sigle « https » cela signifie que les données (mots de passe, numéro de carte bancaire…) qui circulent entre votre ordinateur et le serveur du site sont cryptées. Open SSL est un procédé dit « open source » qui implémente les deux protocoles de cryptage les plus courants.

le bug heartbleedLe bug Heartbleed, révèle en clair et sans le moindre cryptage le contenu de message « sécurisé » comme les identifiants et mots de passe, les transactions faites par cartes de crédit, …. Techniquement, lorsqu’une demande de présence était faite auprès du serveur par un hacker, au lieu de se contenter de répondre « oui », le serveur donnait accès aux dernières informations sauvegardées dans la mémoire vive (mémoire temporaire) qui ne sont pas cryptées. Ainsi, au milieu de données sans intérêt, on pouvait retrouver les numéros de compte, les identifiants et mots de passe, …

Un correctif a été mis au point et a été publié lundi, il est disponible pour la version 1.0.1g d’Open SSL. Netcraft estime que 17,5% des sites travaillant en protocole SSL sont potentiellement en danger soit environ 500 000.

Comment se protéger ?

se protéger contre heartbleed

La protection contre Hearetbleed comporte plusieurs démarches :

Tout d’abord, les administrateurs Web doivent mettre leur système à jour, obtenir une nouvelle clé de cryptage et refaire valider leur certificat de sécurité. Certains acteurs comme Google ont réagi très vite ce qui leur permet d’assurer à leurs utilisateurs qu’ils n’ont pas besoin de changer leur mots de passe. Ces démarches sont indispensables afin de se protéger contre de vieilles clés qui pourraient être compromises.

Certains professionnels recommandent aux internautes de changer tous les mots de passe en ligne en les différentiant pour chaque site. Vous pouvez aussi utiliser les systèmes de double contrôle qui combinent un mot de passe et un code envoyé par SMS ou via une application dédiée. Il faudra en parallèle s’assurer que les sites utilisés ont bien mis à jour leur version d’Open SSL, dans le cas inverse les hackers auront toujours la possibilité de trouver votre mot de passe.

La menace est-elle réellement sérieuse ?

Certains experts en cryptologie n’hésitent pas à dire qu’Heartbleed est catastrophique car on ne peut pas savoir si elle a été exploitée pendant les 3 années de sa présence. En effet, on a pas d’idée précise de la menace car les attaques ne laissent pas de trace. Il est donc capital de lancer un audit précis sur le système « Open SSL » afin de pouvoir garantir à nouveau la qualité de cet élément critique de la sécurisation du Web.

heartbleed

Ajouter un commentaire

L'addresse électronque est déjà enregistrée sur le site. S'il vous plaît, veuillez utiliser Le formulaire de connexion ou veuillez saisir un autre.

Vous avez saisi un nom d'utilisateur ou mot de passe incorrects

Nous sommes désolés, vous devez être connecté pour faire un commentaire.
Comments0
Facebook
Twitter
Google+0
Linkedin0
E-mail

Ne cherchez plus l'information...

Avec nos newsletters, vous allez rester au top de l’actualité .

Vous pourrez vous désinscrire à tout moment.