Ça ne me tentait pas d’en parler, mais je vais le faire quand même: Heartbleed, une vulnérabilité plutôt déconcertante (pour ne pas dire catastrophique) qui affecte certaines versions d’OpenSSL. Ce logiciel est utilisé par un grand nombre de sites pour chiffrer les communications qu’ils effectuent avec leurs visiteurs, dans un contexte de commerce électronique par exemple. Donc, un outil plutôt important pour le fonctionnement d’Internet tel que nous le connaissons.
L’exploitation de Hearthbleed permet de lire aléatoirement des blocs de données présents en mémoire sur les ordinateurs utilisant une version d’OpenSSL comportant la vulnérabilité. En pratique, cela veut dire qu’un attaquant pourrait connaître, au bout d’un certain temps, la totalité des informations présentes en mémoire sur le serveur concerné, incluant des données de configuration, mots de passe des utilisateurs, etc. D’un point de vue de sécurité, c’est très grave.
Nous savons déjà que plusieurs sites internet sont affectés. Près de chez nous, il semble que l’Agence du Revenu du Canada soit au courant du problème.
Heureusement, on connaît déjà la solution: une nouvelle version d’OpenSSL, corrigeant le bogue menant à cette vulnérabilité, est déjà disponible. Mais la mise à jour de l’ensemble des serveurs touchés pourrait être longue. Comme un attaquant éventuel pourrait déjà avoir exploité cette vulnérabilité avant sa correction, les administrateurs de systèmes devront également changer leurs mots de passe et renouveler leurs clés privées, certificats et autres éléments nécessaires à la sécurité de leurs communications, ce qui représente un effort plus important que la simple mise à jour d’un logiciel.
Comme je le disais, je ne voulais pas en parler… pourquoi? Parce que ce n’est pas mon intention d’adresser sur ce blogue chaque nouvelle vulnérabilité logicielle découverte – et il y en a tous les jours. Ça finirait par devenir ennuyant pour la majorité des lecteurs cibles, et n’intéresserait qu’une poignée de gens plus techniques qui fréquentent déjà des sites plus spécialisés sur le sujet. J’ai décidé de faire une exception aujourd’hui pour Heartbleed à cause de l’importance de la découverte.
Pour le commun des mortels, le mot d’ordre reste le même: mettez à jour vos logiciels et appliquez-y les correctifs de sécurité disponibles. C’est important.
Cryptique César! 