Le Web saigne des données confidentielles qu'on pensait protégées. Et si l’hémorragie a été en partie stoppée lundi, par un patch, l'étendue des dégâts du bug «heartbleed» ne sera pas connue avant longtemps.

>> Heartbleed, c'est quoi? Le décryptage à lire ici

Si vous avez raté le début...

Heartbleed, c'est un bug dont la découverte a été annoncée lundi par des chercheurs finlandais de Codenomicon et une équipe de Google Security. La faille touche l'un des piliers de la sécurité en ligne, le protocole OpenSSL, utilisé par environ deux sites Internet sur trois pour crypter le trafic entre le PC de l'utilisateur et un serveur. Un cadenas et les lettres «https» signifient, en théorie, que des informations sensibles sont protégées. Mais le bug fonctionne de la manière suivante: si un hacker frappe à la porte d'un site Web pour demander si quelqu'un est là, au lieu de simplement répondre «oui», le site jette par la fenêtre les dernières informations qui étaient stockées temporairement dans l'entrée (sa mémoire vive). Au milieu de données sans intérêt peuvent se trouver un numéro de carte bancaire ou un mot de passe. Ou pire: les clés de la maison.

La situation mercredi soir

Un patch publié lundi permet de boucher la faille. Tous les administrateurs Web doivent mettre leurs systèmes à jour à la version OpenSSL 1.0.1g. «Nous avons corrigé le bug très tôt et les utilisateurs de Google n'ont pas besoin de changer leur mot de passe», confie l'entreprise à 20 Minutes. Visiblement, Google a travaillé avec OpenSSL pour prévenir de nombreux clients. Facebook, par exemple, a mis ses systèmes à jour avant l'annonce de lundi. Mais pour une raison inconnue, d'autres, comme Yahoo, PayPal ou Amazon, l'ont déployée en catastrophe mardi. Leur systèmes sont donc restés vulnérables plusieurs heures. Le Fisc canadien a même bloqué l'accès à son site pendant un moment, par mesure de précaution.

Fuite des mots de passe de Yahoo en clair

C'est l'une des inquiétudes principales. Mardi, Mark Loman, un chercheur néerlandais, et d'autres, ont a réussi à obtenir des logins et des mots de passe non cryptés de comptes email Yahoo (censuré en orange ci-dessous).

«Ils étaient en clair car ils viennent de la mémoire vive des serveurs», où ils sont stockés temporairement avant d'être cryptés, précise-t-il à 20 Minutes. A chaque requête, il a obtenu 64 ko de texte (une vingtaine de pages), et il lui a suffi de chercher certains identifiants spécifiques comme «passwd». Automatisée, la procédure a sans doute fait des dégâts entre de mauvaises mains.

Ce que doit faire l'internaute

Tumblr, qui appartient à Yahoo, conseille aux internautes de changer tous leurs mots de passe en ligne, si possible en n'utilisant pas le même pour leurs comptes bancaire, mail et Facebook. Le site recommande d'activer les systèmes de double authentification (qui nécessitent de combiner un mot de passe et un code temporaire envoyé par SMS ou via une app). La solution est radicale mais indispensable, selon Ed Felten, professeur d'informatique à Princeton. Attention toutefois, l'internaute doit vérifier (par cet outil, notamment) que le site a bien déployé la mise à jour d'OpenSSL. Dans le cas contraire, il court le risque d'exposer son nouveau mot de passe à des hackers à l'écoute.

Ce que doivent faire les administrateurs réseaux

Si ce n'est pas déjà fait, mettre à jour immédiatement OpenSSL. Mais ce n'est pas suffisant, selon Felten. Ils doivent également obtenir une nouvelle clé de cryptage et renouveler leur certificat de sécurité auprès des organismes compétents. Cela peut coûter quelques milliers d'euros, mais c'est indispensable pour protéger les utilisateurs. Si des vieilles clés ont été compromises par le passé, le site sera toujours vulnérable.

Pourquoi le bug est «catastrophique»

Selon l'expert en cryptographie Bruce Schneier, heartbleed est «catastrophique». «Sur une échelle de gravité de 1 à 10, on est à 11», écrit-il. La question à 100.000 dollars: la faille a-t-elle été exploitée entre 2011 et 2014, avant sa découverte par des chercheurs? Par des hackers, on ne sait pas, car la faille est telle qu'une attaque ne laisse, a priori, aucune trace dans le journal d'activité du serveur. Selon Schneier, il est toutefois «probable» que la NSA ait profité de l'aubaine. Et malgré l'update de lundi, si l'agence a mis la main sur des anciennes clés de Google, Yahoo ou Facebook par le passé, elle peut toujours décrypter le trafic capturé à la volée jusqu'à aujourd'hui. De là à soupçonner la NSA d'être derrière la faille de ce protocole open-source, il n'y a qu'un pas. Que l'expert ne franchit pas. «Je pense que c'est accidentel, mais je n'ai pas de preuve», conclut-il.

Et après?

Selon Ed Felten, OpenSSL est «une infrastructure critique» qui va «devoir être auditée de près». Surtout quand on sait que que cette technologie open-source n'est actuellement supervisée que par quatre ingénieurs européens. Un seul travaille dessus à plein temps, selon le Wall Street Journal. Mais au moins un demi-million de sites l'utilisent.