NOUVELLES

La faille Heartbleed démystifiée

11/04/2014 05:52 EDT | Actualisé 11/06/2014 05:12 EDT

Un internaute averti en vaut-il vraiment deux? La découverte d'une faille dans la librairie OpenSSL a causé l'émoi sur la toile. Des sites qui sont censés être sécurisés ne le sont pas tout à fait, et personne n'en connaît encore les conséquences.

Un texte de Christine Bureau Courriel

Le développeur web chez Radio-Canada, Dominic Marchand, démystifie le mystère Heartbleed.

1. Qu'est-ce que Heartbleed?

Heartbleed est un trou de sécurité dans une librairie qui gère les échanges entre un client et le serveur. C'est ce qu'on utilise sur le web pour crypter des informations. Grâce à cette librairie - dans ce cas-ci, OpenSSL -, une personne qui voit le trafic circuler entre le client et le serveur ne verrait passer que des caractères embrouillés. C'est le principe de base du cryptage.

2. D'où vient le nom Heartbleed?

En informatique, un « heartbeat » ou « battement de coeur » est une façon pour deux systèmes de vérifier que l'autre est encore là. C'est dans l'implémentation de ce battement de coeur qu'il y a eu un bogue. Par exemple, au lieu de demander au serveur de te renvoyer « Patate, six caractères », tu pouvais demander, « Patate, 500 caractères ». Comme la limite était de 64 000 caractères (ou 64 k), c'était facile d'obtenir beaucoup d'informations qui se trouvaient dans la mémoire du serveur, mais qui n'auraient jamais dû être envoyées.

3. Pourquoi qualifie-t-on Heartbleed d'une des plus grosses menaces à la sécurité informatique?

  • Implique autant les clients que les serveurs;
  • Existe depuis mai 2012;
  • Personne ne sait qui connaissait cette faille;
  • Impossible de savoir quelles données ont été décryptées, même les certificats de sécurité peuvent l'avoir été;
  • Les deux tiers des serveurs utilisent OpenSSL.

4. La faille peut-elle se réparer?

La faille se répare dans la mesure où il n'est plus possible de demander 64 000 caractères d'un seul coup. Ceci dit, il n'y a rien qui garantit que ce qui a été échangé avant n'a pas été capté ou ne sera pas utilisé à mauvais escient. C'est la grande question. On n'a aucune façon de savoir qui connaissait cette faille et s'il l'a utilisée.

5. Que peut faire un internaute pour se protéger?

Ce qui est très important, c'est de se synchroniser. Ça ne sert à rien de changer votre mot de passe avant que la faille en question n'ait été réparée. Il faut quand même changer son mot de passe régulièrement pour se protéger d'autres formes de piratage. Ça demeure une bonne pratique, mais qui ne s'applique pas dans le cas de Heartbleed.

Pour consulter ce tableau sur un appareil mobile, cliquez ici

PLUS:rc