Le temps passe vite. Voilà déjà un an que heartbleed, la terrible faille de sécurité openSSL, a remué le web
Heartbleed la faille la plus importante de l’année 2014
En effet, sur l’année 2014 et les années précédentes, je n’ai pas souvenir qu’une faille de sécurité aussi importante ait fait autant parler d’elle. Pour ceux qui n’étaient pas nés en 2014 ou qui se cachait au fond d’une grotte, heartbleed est le nom donné à une faille de sécurité présente dans openSSL. Ce dernier n’est autre que le protocole qui sécurise toutes les transactions sur internet. Vous savez le « s » du « https ». Parfois ce « s » est même accompagné d’un petit cadenas pour insister sur le caractère sécurisé de votre connexion.
Et bien l’an dernier une faille dans openSSL permettait à des pirates d’intercepter toutes les données comme si elles étaient en clair sur internet. Si heartbleed était correctement exploité, les pirates pouvaient installer un faux certificat de sécurité dans votre navigateur et ainsi vous faire croire que tout était en ordre et trompé tout le monde.
L’ampleur de cette faille était de taille. Tous les sites internet utilisant une page sécurisée étaient touchés. Les sites d’entreprises, les commerces en ligne, les banques, les hébergeurs de sites internet ou de fichiers. Heartbleed a donc fait couler beaucoup d’encre, mais heureusement elle a depuis été corrigé. Un patch n’a pas tardé à être appliqué, permettant de combler cette faille béante qui aurait pu faire d’énormes dégâts.
Une faille qui crée la panique
Quand elle a été découverte, on a entendu tout et son contraire. Au point que la panique a pu s’emparer de certains d’entre vous. Un peu aussi poussé par les médias, pas toujours très au fait des risques encourus et des conséquences d’une telle faille. Quand heartbleed a été découverte, il a d’abord été recommandé de changer ses mots de passe, alors qu’au contraire, c’est cette action qui vous exposez au danger. Tant que vous ne vous connectiez pas à des pages sécurisées aucune donnée personnelle n’était accessible par les pirates. Heureusement, tout est rentré dans l’ordre aujourd’hui. 🙂
Pour en savoir plus sur cette faille, vous pouvez consulter mon article précédent ou celui de wikipedia qui est très complet.