En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
Appels d'offres en cours
  • Audit réseau et sécurité pour un fabricant de matériel électronique
    A déterminer €
    > En savoir plus
  • Création d'un site vitrine pour une association
    <250 €
    > En savoir plus
  • Site internet de réservation pour un hôtel
    < 3 000 €
    > En savoir plus
Universign_simplifiez process couts_leaderboard

HEARTBLEED « Ce n'est pas aux internautes de changer leurs mots de passe partout, ni d'arrêter d'utiliser Internet »

GlobalK_Azure _pave

De nombreuses publications généralistes se sont répandues sur la faille de sécurité Heartbleed sans toujours bien vérifier les faits, créant ainsi une forte angoisse chez certains internautes. Suite à un premier article paru lundi 14 avril, Solutions & Logiciels IT fait le point avec Patrick Duboys, un ingénieur spécialiste de la question.

 

Solutions & Logiciels IT : Présentez-vous en quelques mots. En quoi êtes-vous spécialiste du sujet ?

Patrick Duboys : Ingénieur, j’ai travaillé prendant 13 ans chez Microsoft, puis 4 ans chez Keynectis (renommé aujourd’hui OpenTrust, spécialiste de la sécurisation des identités et des échanges numériques). J’ai créé Alice and Bob  – comme les personnages utilisés systématiquement dans les premiers cours de cryptographie – spécialisé dans le même domaine pour aider les entreprises française avec des problématiques de signature électronique, de SSL, d’authentification forte, de chiffrement, de dématérialisation, de signature de code.

La presse a parlé beaucoup de Heartbleed, mais avec de nombreuses inexactitudes. Qu'est-ce que cette faille précisément ?

Heartbleed est une erreur de programmation dans le protocole OpenSSL des versions 1.0.1 à 1.0.1f et 1.0.2-beta1, mais pas les autres versions, ni les autres outils SSL. Cette erreur crée une faille de sécurité potentiellement exploitable par des pirates – il faudrait d’ailleurs mieux dire des voleurs ou des délinquants, le mot pirate ayant une connotation sympathique issue de notre tendre enfance. Ni le protocole SSL/TLS, ni les autres versions d’OpenSSL, ni les autres outils non OpenSSL, ni les autorités de certification ne sont en cause.

Quelles conséquences ?

La conséquence est que tous les sites web protégés par des certificats SSL (serveurs) ou certificats clients créés avec OpenSSL des versions 1.0.1 à 1.0.1f et 1.0.2-beta1 peuvent être potentiellement craqués et les données transitant interceptées. Toutes les données échangées avec des sites web e-commerces utilisant un certificat SSL (cadenas dans le navigateur et https dans la barre d’adresse) peuvent par exemple être capturées comme s’il n’y avait pas de certificat SSL (http et pas de cadenas) et que l’information circulait en clair sur l’Internet. Il faut y mettre des moyens et cibler l’attaque, mais c’est possible.

Existe-il encore des risques pour les internautes ? Comment peuvent-ils, eux, se protéger ?

La presse grand public a créé une psychose. Oui, c’est une faille de sécurité. Et oui, c’est très grave. Mais très peu des sites utilisent OpenSSL dans ces versions. De plus, ce n’est pas parce qu’il y a une faille qu’elle sera nécessairement exploitée. Les informations que vous faites circuler sur l’Internet sont-elles toujours si critiques ? Qui a intérêt à les intercepter ? Pour en faire quoi ? J’en profite pour rappeler que si vous ne chiffrez (encodez) pas vos emails, ils circulent en clair sur l’Internet. Certains sites Internet n’ont parfois pas de certificats SSL sur leurs serveurs. Certains fournisseurs de solutions ou de services de sécurité ou même certains medias jouent sur la peur pour vendre. Ce sont aux fournisseurs de services utilisant des certificats SSL de changer leurs certificats en utilisant la dernière version de OpenSSL et d’informer leurs utilisateurs qu’il serait opportun de changer leur mot de passe au « cas où » (méthode préventive), tout en restant rassurant. Ce n’est pas aux internautes de changer tous leurs mots de passe partout, ni d’arrêter d’utiliser l’Internet ou d’envoyer des emails comme j’ai pu récemment le lire.

Les entreprises en France, et dans le monde, ont-elles pris toutes les mesures nécessaires ?

Pas toujours et pas toujours assez vite. Les grands de l’Internet ont vite réagi. Ils ont changé les certificats et, dans certains cas, demandé aux internautes de changer leurs mots de passe. C’est ce qu’il fallait faire. Certains n’ont pas communiqué assez vite. C’est dommage.

Que doivent-elles faire si ce n'est pas le cas ?

Vérifier si leur site est affecté : voir l’outil http://www.aliceandbob.fr/alice-bob/heartbleed par exemple. Il en existe d’autres. Si le site est affecté, il faut remplacer les certificats. Et le cas échéant, demander aux utilisateurs de remplacer leur mot de passe.

On parle aujourd'hui d'un ralentissement général d'Internet en raison de la nécessité d'obtenir de nouveaux certificats de sécurité par les navigateurs. Pouvez-vous nous expliquer…

Oui, il y a un petit ralentissement au début pendant quelques jours, mais qui restera vraiment mineur. Cela provient du fait que les certificats à risque (qui restent une petite minorité) doivent être par exemple réinstallés dans le magasin des navigateurs. La majorité des sites Internet n’utilisent pas le SSL et n’ont pas utilisé les versions incriminées d’OpenSSL. Donc, là aussi, pas de psychose à avoir.   

A votre avis, peut-on s'attendre à d'autres failles aussi importantes et généralisées de ce type ?

La sécurité n’est jamais garantie à 100 %. Oui, il y aura d’autres failles. Les investissements dans ce domaine sont néanmoins gigantesques. Les risques ne viennent en général pas des failles de sécurité, mais de mauvaises pratiques des utilisateurs comme noter leurs mots de passes sur un post-it ou dans un fichier sur un ordinateur ou un smartphone.  

Auteur : Juliette Paoli

HEARTBLEED « Ce n'est pas aux internautes de changer leurs mots de passe partout, ni d'arrêter d'utiliser Internet »
Notez cet article

Laisser un commentaire

Gestion des Identités et des Accès : conférence 7 décembre

Journée de conférence et d’échanges sur les nouvelles tendances IAM/IAG/DAG. Un florilège de sessions enrichissantes, animées par les plus grands experts Témoignage Client d’un très large déploiement IAM La Gestion des Identités et des Accès dans le Cloud etc - Hotel Peninsula, Paris.

Info et inscription

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Piratage de données : action en nom collectif au Canada contre Equifax

    Une action en nom collectif (class action) a été lancée mardi au Canada afin d'obtenir…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • RGPD : à huit mois de la date-butoir, tirez-vous le meilleur parti des atouts déjà en votre possession ?

    Alors que l’échéance de mai 2018 approche à grands pas pour leur mise en conformité avec…

    > En savoir plus...
Etudes/Enquêtes
  • L'emploi cadre porté par le dynamisme des entreprises pariant sur le digital

    Selon la 16e édition du Baromètre Européen de l’Emploi de Robert Walters, l’année 2017 est…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

GlobalK_Azure _Skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Communications unifiées : la mobilité et la collaboration au cœur des métiers

    > Voir le livre
  • Le paiement en 2050 et au-delà

    > Voir le livre
elo_processus pointe_skyscraper