En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 17/10/2017
    Mobility for Business

    7ème édition de Mobility for Business, le salon des solutions mobiles "pour une meilleure transformation…

    en détail En détail...
  • 11/10/2017
    Les Assises de la sécurité et des systèmes d’information 2017

    La 17ème édition des Assises de l'événement incontournable en matière de cybersécurité aura lieu du 11…

    en détail En détail...
Comexposium_AssisesSécurité2017_leaderboard

HEARTBLEED « Ce n'est pas aux internautes de changer leurs mots de passe partout, ni d'arrêter d'utiliser Internet »

Paessler_Restez-au-top-Securite_Pave

De nombreuses publications généralistes se sont répandues sur la faille de sécurité Heartbleed sans toujours bien vérifier les faits, créant ainsi une forte angoisse chez certains internautes. Suite à un premier article paru lundi 14 avril, Solutions & Logiciels IT fait le point avec Patrick Duboys, un ingénieur spécialiste de la question.

 

Solutions & Logiciels IT : Présentez-vous en quelques mots. En quoi êtes-vous spécialiste du sujet ?

Patrick Duboys : Ingénieur, j’ai travaillé prendant 13 ans chez Microsoft, puis 4 ans chez Keynectis (renommé aujourd’hui OpenTrust, spécialiste de la sécurisation des identités et des échanges numériques). J’ai créé Alice and Bob  – comme les personnages utilisés systématiquement dans les premiers cours de cryptographie – spécialisé dans le même domaine pour aider les entreprises française avec des problématiques de signature électronique, de SSL, d’authentification forte, de chiffrement, de dématérialisation, de signature de code.

La presse a parlé beaucoup de Heartbleed, mais avec de nombreuses inexactitudes. Qu'est-ce que cette faille précisément ?

Heartbleed est une erreur de programmation dans le protocole OpenSSL des versions 1.0.1 à 1.0.1f et 1.0.2-beta1, mais pas les autres versions, ni les autres outils SSL. Cette erreur crée une faille de sécurité potentiellement exploitable par des pirates – il faudrait d’ailleurs mieux dire des voleurs ou des délinquants, le mot pirate ayant une connotation sympathique issue de notre tendre enfance. Ni le protocole SSL/TLS, ni les autres versions d’OpenSSL, ni les autres outils non OpenSSL, ni les autorités de certification ne sont en cause.

Quelles conséquences ?

La conséquence est que tous les sites web protégés par des certificats SSL (serveurs) ou certificats clients créés avec OpenSSL des versions 1.0.1 à 1.0.1f et 1.0.2-beta1 peuvent être potentiellement craqués et les données transitant interceptées. Toutes les données échangées avec des sites web e-commerces utilisant un certificat SSL (cadenas dans le navigateur et https dans la barre d’adresse) peuvent par exemple être capturées comme s’il n’y avait pas de certificat SSL (http et pas de cadenas) et que l’information circulait en clair sur l’Internet. Il faut y mettre des moyens et cibler l’attaque, mais c’est possible.

Existe-il encore des risques pour les internautes ? Comment peuvent-ils, eux, se protéger ?

La presse grand public a créé une psychose. Oui, c’est une faille de sécurité. Et oui, c’est très grave. Mais très peu des sites utilisent OpenSSL dans ces versions. De plus, ce n’est pas parce qu’il y a une faille qu’elle sera nécessairement exploitée. Les informations que vous faites circuler sur l’Internet sont-elles toujours si critiques ? Qui a intérêt à les intercepter ? Pour en faire quoi ? J’en profite pour rappeler que si vous ne chiffrez (encodez) pas vos emails, ils circulent en clair sur l’Internet. Certains sites Internet n’ont parfois pas de certificats SSL sur leurs serveurs. Certains fournisseurs de solutions ou de services de sécurité ou même certains medias jouent sur la peur pour vendre. Ce sont aux fournisseurs de services utilisant des certificats SSL de changer leurs certificats en utilisant la dernière version de OpenSSL et d’informer leurs utilisateurs qu’il serait opportun de changer leur mot de passe au « cas où » (méthode préventive), tout en restant rassurant. Ce n’est pas aux internautes de changer tous leurs mots de passe partout, ni d’arrêter d’utiliser l’Internet ou d’envoyer des emails comme j’ai pu récemment le lire.

Les entreprises en France, et dans le monde, ont-elles pris toutes les mesures nécessaires ?

Pas toujours et pas toujours assez vite. Les grands de l’Internet ont vite réagi. Ils ont changé les certificats et, dans certains cas, demandé aux internautes de changer leurs mots de passe. C’est ce qu’il fallait faire. Certains n’ont pas communiqué assez vite. C’est dommage.

Que doivent-elles faire si ce n'est pas le cas ?

Vérifier si leur site est affecté : voir l’outil http://www.aliceandbob.fr/alice-bob/heartbleed par exemple. Il en existe d’autres. Si le site est affecté, il faut remplacer les certificats. Et le cas échéant, demander aux utilisateurs de remplacer leur mot de passe.

On parle aujourd'hui d'un ralentissement général d'Internet en raison de la nécessité d'obtenir de nouveaux certificats de sécurité par les navigateurs. Pouvez-vous nous expliquer…

Oui, il y a un petit ralentissement au début pendant quelques jours, mais qui restera vraiment mineur. Cela provient du fait que les certificats à risque (qui restent une petite minorité) doivent être par exemple réinstallés dans le magasin des navigateurs. La majorité des sites Internet n’utilisent pas le SSL et n’ont pas utilisé les versions incriminées d’OpenSSL. Donc, là aussi, pas de psychose à avoir.   

A votre avis, peut-on s'attendre à d'autres failles aussi importantes et généralisées de ce type ?

La sécurité n’est jamais garantie à 100 %. Oui, il y aura d’autres failles. Les investissements dans ce domaine sont néanmoins gigantesques. Les risques ne viennent en général pas des failles de sécurité, mais de mauvaises pratiques des utilisateurs comme noter leurs mots de passes sur un post-it ou dans un fichier sur un ordinateur ou un smartphone.  

Auteur : Juliette Paoli

HEARTBLEED « Ce n'est pas aux internautes de changer leurs mots de passe partout, ni d'arrêter d'utiliser Internet »
Notez cet article

Laisser un commentaire

Intégrer une solution de communication unifiée

La communication remplace la simple téléphonie, avec intégration des e-mails, téléphone fixe et mobile, chat, visioconférence, social média, web…

Lire le livre-blanc

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Qualcomm demande l'arrêt des importations aux Etats-Unis de certains iPhone

    La guerre continue entre Apple et Qualcomm, qui demande l'arrêt des importations de certains iPhones…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Expert - Magie et Test : mêmes combats ?

    Voici une tribune du Comité Français des Tests Logiciels, alias le CFTL, qui permet d'appréhender…

    > En savoir plus...
Etudes/Enquêtes
  • Navigateurs Internet : Google Chrome écrase la concurrence

    Google Chrome tient le haut du pavé avec ses 51,6% de parts de marché mondiales.…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
BlueMind_Nouvelle version_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Guide du Service Management pour le DSI à l’ère mobile

    > Voir le livre
  • Livre blanc : votre entreprise pourrait-elle surmonter une attaque de cryptovirus ?

    > Voir le livre
GlobalK_Cloud_Skycraper