La confiance en internet a pris un nouveau coup avec la découverte d'une importante faille de sécurité dans un logiciel de cryptage utilisé par la moitié des sites, et censé protéger mots de passe et autres données bancaires.
La faille, baptisée "Heartbleed" ("coeur qui saigne"), touche certaines versions d'OpenSSL, un logiciel libre très utilisé pour les connexions sécurisées sur internet, matérialisées par exemple par une adresse démarrant par https ou un petit cadenas lors des transactions bancaires et de l'identification sur un site internet.
Ce type de connexion sert aussi souvent pour les messageries instantanées, les échanges de courriels, ou les réseaux privés VPN.
Elle peut permettre à des pirates de récupérer dans la mémoire des serveurs informatiques des données fournies lors de connexions protégées, selon des spécialistes de la société de sécurité informatique Fox-IT. Cette dernière estime que la faille existe depuis une version d'OpenSSL sortie il y a deux ans environ.
Le collectif qui est derrière OpenSSL a publié une alerte de sécurité et recommandé à ses utilisateurs de passer à une version améliorée du logiciel. Il précise que c'est un chercheur de Google Security, Neel Mehta, qui a découvert la faille.
"Attendez-vous à ce que tous ceux qui gèrent un serveur internet (sécurisé) https se démènent aujourd'hui", prévient le Tor Project, un autre collectif qui défend l'anonymat en ligne, dans un avertissement sur son site internet.
Et de suggérer, pour ceux qui ont "besoin de vrai anonymat ou de protection de leur vie privée sur internet" de "rester complètement à l'écart d'internet dans les prochains jours, le temps que les choses soient réglées".
Le conseil a été suivi en partie par les services fiscaux canadiens, qui ont désactivé mercredi la partie de leur site internet permettant aux contribuables d'accéder à leurs dossiers fiscaux, en invoquant Heartbleed.
Parmi les informations susceptibles d'êtres récupérées par les pirates figurent des codes sources (des fichiers qui rassemblent les instructions que doit exécuter un microprocesseur), des mots de passe, et des "clés" utilisées pour accéder à des données cryptées ou imiter un site.
"Ce sont les joyaux de la couronne, les clés de cryptage elles-mêmes", souligne heartbleed.com, un site internet mis en place pour détailler les caractéristiques de la faille: elles "permettent aux pirates de décrypter toutes les connexions passées et à venir avec les services protégés".
La faille ne concerne pas toutes les versions d'OpenSSL. Elle ne permet pas à un pirate d'obtenir plus de 64 kilo-octets de données à la fois, ni de contrôler précisément à quelle partie de la mémoire du serveur informatique il accède, selon des spécialistes en sécurité informatique.
Mais les pirates peuvent procéder à des attaques en série sur le même serveur pour augmenter leurs chances de pêcher des informations de valeur. "Le nombre d'attaques qu'ils peuvent effectuer est sans limite", prévient Fox-IT dans un billet recensant les procédures à suivre pour repousser les incursions.
Des spécialistes en cyber-sécurité disent avoir utilisé la faille pour récupérer des mots de passe pour les services du groupe internet américain Yahoo!. Ce dernier a affirmé mardi dans un communiqué avoir résolu le problème.
On ne sait pas encore si Heartbleed a été effectivement exploitée par des pirates, mais les gestionnaires de site ayant utilisé des versions compromises d'OpenSSL doivent passer à des versions plus sûres ou procéder à des mises à jour de sécurité développées en urgence.
Ils devront aussi changer les identifications de sécurité permettant aux navigateurs de confirmer leur authenticité. Si des pirates ont mis la main dessus, ils pourraient en effet créer des copies frauduleuses de leur site, avec l'objectif de tromper les internautes en vue de récupérer davantage de données.
Certains experts conseillent aussi aux internautes de modifier par précaution les mots de passe des comptes ou services en ligne qu'ils veulent protéger.
gc/are-soe/sl/are