Une importante faille dans un logiciel de cryptage a été découverte par des spécialistes informatiques. Le programme concerné : OpenSSL est utilisé par un grand nombre de sites internet pour protéger mots de passe, numéros de cartes bancaires et autres données personnelles. Si le problème a été identifié, les internautes sont fortement invités à prendre des précautions.
"Heartbleed" c'est quoi ?
" Heartbleed " ("coeur qui saigne" en français) est le nom de la faille qui a affecté le logiciel OpenSSL. Elle aurait été découverte par une équipe de Google Security et de l'entreprise Codenomicon. Elle a été baptisée ainsi car elle touche une extension du logiciel, appelée "heartbeat" ("battements de coeur, ndlr). Les employés d'OpenSSL n'ont d'ailleurs pas tardé à créer un logo représentant cette faille.
Doit-on s'inquiéter ?
Oui, car des pirates peuvent récupérer des informations en passant par la mémoire des serveurs de l'ordinateur, d'après les spécialistes de la société de sécurité informatique Fox-IT. Parmi les informations susceptibles d'être récupérées: codes, mots de passe, clés utilisées pour déverrouiller des données cryptées ou imiter un site. Des chercheurs ont fait des tests pour confirmer la vulnérabilité de la faille. Ils ont été capables de récupérer des informations de mots de passe de Yahoo!. Des centaines de millions d'internautes sont concernés. Et deux serveurs sur trois dans le monde, dont ceux utilisés par les banques et les systèmes de paiement en ligne, seraient touchés.
Que faire ?
En attendant que les mises à jours soient correctement effectuées, les spécialistes de l'informatique conseillent de ne pas utiliser internet pour tout ce qui concerne les achats et les transactions. Il est fortement conseillé de changer de mot de passe sur tous les sites conservant des données personnelles. Le nombre d'attaques que les pirates peuvent effectuer est sans limite. Le site Tor Project qui milite pour l'anonymat en ligne conseille aux internautes d'éviter d'utiliser internet pendant quelques jours. Le temps pour les sites et les serveurs d'améliorer leur sécurité.
L'Agence du Revenu du Canada (ARC) a directement pris des mesures d'urgence. Elle a désactivé le volet de son site internet permettant aux clients d'accéder à leurs dossiers fiscaux. "Par mesure de précaution, l'ARC a temporairement suspendu tout accès public à ses services afin de protéger l'intégrité des renseignements que nous détenons" a déclaré l'agence.
Cet important problème remet en cause la fiabilité d'internet. A chaque nouveau bug informatique, les pirates profitent de la situation et cela peut avoir de lourdes conséquences pour les internautes: usurpation d'identité, vol d'importantes sommes d'argent, piratage d'informations personnelles… D'où la nécessité de renouveler certaines données personnelles comme les mots de passe pour éviter les mauvaises surprises.