"Heartbleed" : quelle est cette faille qui menace les données personnelles sur le web ?

Elle permet aux pirates de pénétrer dans les ordinateurs pour y récupérer codes et mots de passe. Difficile de connaître l'ampleur des informations compromises.

\"Heartbleed\" est une faille de sécurité dans un logiciel d\'encodage, OpenSSL, utilisé par la moitié des sites internet.
"Heartbleed" est une faille de sécurité dans un logiciel d'encodage, OpenSSL, utilisé par la moitié des sites internet. (KTSDESIGN / SCIENCE PHOTO LIBRARY RF / GETTY IMAGES)

"Heartbleed", cœur qui saigne. C'est le nom de l'importante faille de sécurité détectée dans la nuit du lundi 7 au mardi 8 avril dans un logiciel d'encodage utilisé pour sécuriser les échanges sur internet.

Potentiellement, certaines de vos données personnelles ont pu être compromises. Francetv info vous en dit plus.

A quoi correspond cette faille ?

Découverte par des chercheurs de Google et de Codenomicon Defensics, une entreprise de sécurité, la faille touche le système OpenSSL, utilisé par la moitié des sites internet pour coder les échanges sur le web. Le service vulnérable est donc celui-là même qui est censé assurer la confidentialité des communications.

La faille existe depuis deux ans environ, selon la société de sécurité informatique Fox-IT (en anglais). Son impact précis est encore difficile à mesurer : potentiellement des informations sensibles, comme vos mots de passe ou vos coordonnées bancaires, ont pu être compromises, analyse le New York Times (en anglais). Mais "à moins qu'un pirate ne vous fasse du chantage, publie vos données en ligne, ou vole et utilise un secret commercial, vous ne saurez pas que vous avez été exposé", explique un responsable de Codenomicon au quotidien américain.

Quels sont les sites touchés ?

Principal grand nom concerné : Yahoo! Les chercheurs de Fox-IT ont rapporté avoir été capables de récupérer des identifiants et des mots de passe sur les serveurs de la société américaine. L'entreprise a depuis expliqué avoir résolu le problème sur l'ensemble de ses services, y compris Flickr ou Tumblr, rapporte le site spécialisé Cnet (en anglais).

Car un correctif est déjà disponible. Mais problème, précise Next INpact, pour qu'il soit appliqué, il faut que les serveurs se mettent à jour et soient réinitialisés. Une procédure qui peut prendre du temps, indique le site. En attendant, un outil en ligne permet de détecter les services touchés.

Que faut-il faire ?

Attendre. Ou alors "ne pas utiliser Internet, ce qui est un conseil plutôt difficile" à suivre, explique à Slate.fr l'expert réseau Stéphane Bortzmeyer. Le Guardian (en anglais) incite les utilisateurs à "éviter de s'engager dans des activités sensibles sur Internet pendant quelques jours".

Quoi qu'il en soit, soyez prudent avant de changer vos mots de passe sur le web. Si la faille n'a pas encore été corrigée sur le site concerné, la modification ne servira à rien.