Heartbleed, une faille de sécurité menace la moitié des sites web

Des experts informatiques ont découvert mardi l'existence de graves failles de sécurité dans un logiciel de cryptage. Baptisée "Heartbleed", littéralement "cœur qui saigne", cette faille touche la moitié des sites web, et permet aux pirates de récupérer les codes et mots de passe des internautes.

(Artur Marciniec - Fotolia.com Fotolia.com)

Ce sont des chercheurs de
Google et d'une petite entreprise de sécurité informatique nommée Codenomicon
qui ont lancé l'alerte le mardi 8 avril. Ils ont découvert une faille
gigantesque
au cœur de la bibliothèque OpenSSL, un logiciel qui chiffre les échanges
avec les utilisateurs et qui est utilisé par un site web sur deux, voire deux
sur trois selon le site 01net.com.

Ce qui rend cette faille particulièrement
inquiétante, c'est que les experts informatiques se sont rendus compte qu'elle existait depuis deux ans.

Données en danger

Les mots de passe, les numéros de carte bancaire ou d'autres données d'internautes peuvent
être siphonnés par les pirates. De quoi
alerter le département américain du Homeland Security qui conseille à toutes
les entreprises de vérifier si leurs serveurs utilisent la version vulnérable
de OpenSSL. Car seulement la plus récente (1.0.1) est concernée par la faille "Heartbleed".  

Selon le vice-président du département de
recherches chez Veracode , une société de sécurité informatique, "des
milliers de serveurs Internet seraient touchés partout dans le monde"
.

Yahoo, Tumblr et le site du fisc canadien touchés

Parmi
les sites les plus connus, Yahoo!, * qui a reconnu que Yahoo Mail présentait une
vulnérabilité, avant de préciser que le problème avait été réglé.
Tumblr , qui
appartient à
Yahoo , a également annoncé être touché et avoir résolu la fuite.  Quant aux sites A pple ,
Facebook , Twitter  et Google , ils * ne seraient pas concernés par cette faille.

Une mise à jour d'OpenSSL est désormais disponible (1.0.1g) et doit être installée le plus rapidement possible par les sites. Car maintenant
qu'elle est connue publiquement, cette faille pourrait tenter de nouveaux
hackers.

Face à la menace, l'agence du revenu du Canada (ARC) a annoncé mercredi qu'elle désactivait le volet de son site permettant aux contribuables d'accéder à leurs dossiers fiscaux. Cette mesure exceptionnelle a été prise trois semaines avant la date de dépôt des déclarations d'impôts des Canadiens, alors que la plupart d'entre eux privilégie justement l'utilisation du site web. L'ARC s'est engagée à réactiver les pages fermées "le plus rapidement possible".

Pour la détecter, le site
filippo.io/Heartbleed propose un petit test de sécurité.