La faille de sécurité Heartbleed pourrait permettre à des pirates informatiques d'accéder à des boîtes de courriels, de contourner des pare-feu, voire de pirater des téléphones portables, selon des spécialistes en informatique qui ont prévenu jeudi que les risques pourraient s'étendre au-delà des seuls serveurs Internet.
Cette vulnérabilité majeure, présente depuis environ deux ans, mais dévoilée seulement en début de semaine, résulte d'un défaut de programmation dans le logiciel OpenSSL, utilisé par de nombreux sites pour établir des connexions sécurisées.
Si des correctifs ont été mis au point dans l'urgence pour les serveurs web de groupes comme Amazon.com, Google ou Yahoo, des fragments de code défaillants
subsistent dans d'autres services tels que la messagerie, les logiciels de sécurité, les jeux en ligne, les PC et les téléphones mobiles des utilisateurs.
« Tout le monde dans le secteur de la sécurité ne parle que de ça », a déclaré Chris Morales, de NSS Labs, une entreprise spécialisée dans la cybersécurité.
Comme la faille Heartbleed peut être exploitée sans laisser de trace, les spécialistes craignent que de nombreux réseaux aient été la cible de visiteurs malveillants à l'insu de tous.
L'ensemble du secteur mobilisé
« J'attends un correctif », a indiqué Jeff Moss, conseiller auprès du Département de la Sécurité intérieure et fondateur de l'événement annuel DEF CON sur le piratage, qui utilise les produits de McAfee, filiale d'Intel. « Tous ceux qui dépendent d'un correctif d'un fournisseur sont exactement dans la même situation que moi », a-t-il ajouté.
Même lorsque les points de vulnérabilité sont identifiés, il est impossible de prendre des mesures pour résoudre le problème tant que l'entreprise qui commercialise le produit en question n'a pas publié un correctif.
Un porte-parole d'Intel n'a pas souhaité s'exprimer sur le sujet, renvoyant Reuters à un blogue du groupe indiquant : « Nous comprenons que les entreprises traversent une période difficile alors qu'elles doivent se démener pour mettre à jour de multiples produits provenant de multiples vendeurs au cours des prochaines semaines. Les produits McAfee utilisant des versions d'OpenSSL concernées [par ce problème] sont vulnérables et doivent être mis à jour ».
Il n'était en revanche pas précisé quand ces mises à jour de sécurité seraient diffusées.
D'autres acteurs du secteur se mobilisent de la même façon. Microsoft, potentiellement exposé via son service de stockage de données en ligne OneDrive et sa plate-forme de jeux Xbox, a indiqué dans un communiqué qu'un « petit nombre de services continuaient à être passés en revue et mis à jour avec des protections supplémentaires ».
Le groupe, qui compte des centaines de millions de clients via son système d'exploitation Windows et sa suite bureautique Office, n'a pas donné plus de précisions.
Google de son côté pourrait être concerné via la version 4.1.1 de son système d'exploitation Android, d'après Jeff Forristal, responsable de la technologie chez Bluebox
Security. Le moteur de recherche sur Internet a refusé de commenter cette découverte, mais certains experts préconisent d'éviter d'utiliser tout appareil susceptible d'être vulnérable.
Cisco Systems, numéro un mondial des équipements de réseaux, a déclaré sur son site analyser sa gamme de produits et avoir découvert une dizaine de cibles potentielles, dont le serveur de visioconférence TelePresence. Un porte-parole du groupe a refusé de préciser l'impact éventuel de ces problèmes sur les clients, indiquant que Cisco fournirait davantage d'informations dès qu'il y aurait du nouveau.
Des représentants d'IBM et Hewlett-Packard n'ont pas pu être joints. Ceux de Dell, du spécialiste du matériel de stockage informatique EMC et de l'éditeur de logiciels Oracle n'ont pas souhaité s'exprimer dans l'immédiat.
INOLTRE SU HUFFPOST
