Alors que le monde avait les yeux tournés vers Windows XP, l’apocalypse a bien failli venir d'une technologie bien moins connue du grand public: OpenSSL, un protocole largement utilisé en ligne pour crypter le trafic Web. Mais si le pire a été évité, la prudence reste de mise.

OpenSSL, c'est quoi?

Vous voyez ce petit cadenas, accompagné de «https», à gauche d'une adresse Web, par exemple sur Yahoo.fr? Cela signifie que le trafic échangé entre votre PC et le serveur est crypté, notamment pour protéger des informations confidentielles comme un mot de passe ou un numéro de carte bancaire. OpenSSL est une technologie open source utilisée par de nombreux sites pour implémenter les deux protocoles de cryptage les plus communs, SSL et TLS.

Qu'est-ce qui saigne?

Le bug a été baptisé «heartbleed» (cœur qui saigne) par ceux qui l'ont découvert, des chercheurs finlandais de Codenomicon et une équipe de Google Security. Il s'agit d'un défaut de conception qui permet à une personne tierce de récupérer des données. A la base, la requête «heartbeat» vérifie que la connexion avec un serveur est encore active, comme une sorte de «ping». Mais en ajoutant des paramètres, au lieu de répondre un simple «pong», le serveur crache des données stockées dans sa mémoire vive: login, mot de passe, numéro de carte bleue etc. Pire, les clés de cryptage utilisées par le site peuvent même être obtenues. Selon l'expert Bruce Schneier, la faille est «catastrophique».

Combien de sites sont concernés?

Beaucoup. Selon les experts, plus de deux tiers des serveurs Web utilisent OpenSSL, notamment ceux sous Apache ou Nginx. La faille ne concerne cependant qu'une version récente, de 2011. Selon Netcraft, au moins un demi-million de sites sont touchés. Il semble que Google, Facebook, Microsoft, Twitter, Amazon ou Dropbox n'aient pas été concernés (ou qu'ils aient bouché la faille avant l'annonce publique). Les sites de Yahoo, Imgur, OkCupid, KickAss Torrent et du FBI, en revanche, étaient vulnérables.

Le problème corrigé, la mise à jour en cours de déploiement

Les chercheurs ont travaillé avec OpenSSL, et un patch a été déployé lundi soir. Les administrateurs Web doivent mettre à jour leur serveur à la dernière version (OpenSSL 1.0.1g). Certains géants du Net, comme les aiguilleurs de trafic Akamai et CloudFlare, ont visiblement été prévenus en avance et l'ont déjà fait. D'autres, comme Yahoo, l'ont découvert mardi matin et ont updaté leurs systèmes en urgence.

Potentiellement, un problème de long terme

Il y a deux problèmes. D'abord, on ne sait pas si la faille a été exploitée avant qu'elle ne soit rendue publique. Surtout, un site n'a aucun moyen de savoir si ses serveurs ont «saigné» des données par le passé. Selon l'expert en sécurité Michael Kreps, si des hackers ont réussi à dérober des clés de cryptage, ils pourront les utiliser plus tard. Pour protéger ses utilisateurs, un site doit déposer de nouvelles clés et renouveler son certificat de sécurité, ce qui coûte souvent de l'argent.

Que faire pour l'utilisateur?

Pas grand chose. Le réseau TOR, qui permet de surfer anonymement, conseille à ses utilisateurs «de ne pas utiliser Internet pendant quelques jours», le temps que le patch soit appliqué partout. Cet outil permet de tester si un site est vulnérable, mais il ne marche pas pour tous. En cas de résultat positif, il ne faut surtout pas rentrer ses informations de connexion. Il est enfin probable que dans les prochains jours, des géants comme Yahoo conseillent de réinitialiser son mot de passe. Selon certains experts, mieux vaut attendre 48h, afin de ne pas rentrer un nouveau mot de passe sur un site encore non patché.

>> Cette faille de sécurité vous effraie-t-elle? Comment vous protégez-vous sur Internet? Racontez-nous dans les commentaires ci-dessous ou via [email protected]