HeartBleed, une nouvelle menace ?


Nous pouvons lire, dans bon nombre de sources média et relais d'actualités, qu'une nouvelle menace informatique à fait son apparition. Est-il nécessaire de s'en alarmer ?

En fait, il ne s'agit ni d'un virus, ni d'une menace qui serait sortie de l'ombre pour menacer nos systèmes d'information (comme on peut le lire dans certains articles ces derniers jours), mais tout simplement d'une menace de sécurité qui pose problème dans un cadre très précis.

Il s'agit d'une faille, d'un bug de fonctionnement logiciel, du composant OpenSSL qui n'a été révélé que dans les versions 1.0.1 jusqu'aux versions 1.0.1f. Ainsi, tout système ayant une version antérieure à 1.0.1 (<=1.0.0) ou supérieure à 1.0.1f (>=1.0.1g) n'est pas concerné par ce dysfonctionnement.

Découvert le 7 avril 2014, Heartbleed est le nom donné à une mauvaise implémentation de la fonctionnalité battement de cœur (Heartbeat) dans le protocole TLS/DTLS qu'apporte - entre autres - le composant OpenSSL. L’inconvénient est qu'une personne mal intentionnée pourrait tirer avantage de cette lacune en déchiffrant des données personnelles et sensibles, qui, en temps normal, sont complètement sécurisées par SSL et TLS.

Il existe un outil en ligne de test https://lastpass.com/heartbleed/ pour vérifier si votre serveur sur Internet est sensible à ce bug ; auquel cas il faudra entreprendre une action corrective sur vos composants SSL.

Il est malheureux, à notre ère de l'échange rapide de l'information, de voir que ces actualités concernant de simples corrections à apporter à un logiciel de sécurité déchainent les médias, mais plus grave, que l'information soit déformée pour susciter peur et manque de confiance dans l'informatique en général.

Auteur :
Mis en ligne : Vendredi 11 Avril 2014