Note : les informations suivantes proviennent de notre Mac Security Blog. Publié le 9 avril 2014 par Graham Cluley
Ces derniers jour, vous n'avez pas pu passer à côté du débat à propos de ce que d'aucun nomme la faille Heartbleed. Nous allons essayer ici de répondre à la plupart des questions que les utilisateurs de produits Apple peuvent se poser à ce sujet.
La faille Heartbleed : de quoi s'agit-il ?
La faille Heartbleed est une vulnérabilité sérieuse qui peut permettre à des pirates d'espionner des communications internet considérées comme sûres. Un bogue de programmation dans la bibliothèque de chiffrement du logiciel OpenSSL peut aboutir au vol d'informations, qui en temps normal devraient être protégées par un chiffrement SSL/TLS.
Les informations typiquement volées incluent des adresses e-mail, des mots de passe et des communications privées, des données dont on pourrait penser qu'elles transitent sur l'équivalent d'une "ligne sécurisé".
Tout comme "Heartbleed", ce bogue est aussi connu sous le nom très technique de CVE-2014-0160.
Depuis combien de temps ce bogue existe-t-il ? Il a l'air plutôt méchant.
Oui, il n'est pas commode. Et, tenez-vous bien, il semble être là depuis près de deux ans.
Cela signifie-t-il que des gens mal-intentionnés ont pu s'emparer d'informations privées au cours des deux années passées ?
Oui.
Ces vols ont-ils vraiment eu lieu ? Des gens malintentionnés ont-ils vraiment réussi à faire ça ?
Rien n'est moins sûr. L'exploitation de cette faille ne laisse aucune trace. Aussi, il est difficile de savoir l'étendue du préjudice. Pourtant, de nombreux spécialistes ont démontré ces derniers jours que cette faille était toujours exploitable.
Quelles sont les versions vulnérables d'OpenSSL ?
OpenSSL 1.0.1 à 1.0.1f (inclus) sont vulnérables. OpenSSL 1.0.1g, les branches OpenSSL 1.0.0 et OpenSSL 0.9.8 ne sont pas affectées.
Suis-je en danger en utilisant mon Mac ? Idem pour mon iPhone ou mon iPad ?
Malheureusement, cette faille n'a rien à voir avec le type de matériel que vous utilisez pour vos communications sur Internet. Cela signifie que les iPhones, les iPads ou les Macs sont aussi vulnérables que les ordinateurs sous Windows 8.1, par exemple.
Y-a-t'il une solution ?
Oui. La nouvelle version d'OpenSSL, la 1.0.1g, a été publiée pour y pallier. Les sociétés de l'Internet sont sur le pont pour mettre à jour les services et les serveurs vulnérables. Certains sites ne sont pas impactés, alors que d'autres ont déjà vu leurs systèmes mis à jour.
Des acteurs majeurs de l'internet sont-ils vulnérables à la faille Heartbleed ?
Si l'on considère Yahoo comme un acteur majeur, oui. Certains spécialistes ont réussi à récupérer des centaines d'adresses e-mail et de mots de passe d'utilisateurs de Yahoo en exploitant ce défaut. D'autres grands sites ont signalés avoir été affectés, comme Flickr, Imgur, OKCupid, Stackoverflow et Eventbrite.
Apple va-t-elle publié un correctif pour ce bogue ?
Non. Il ne s'agit pas d'un bogue dans les logiciels ou les matériels d'Apple. Il se niche dans le logiciel "open source" que certains serveurs web et appareils gérés sur le réseau utilisent pour établir des connexions sécurisées SSL. En d'autres termes, aucune mise à jour n'est à appliquer sur votre ordinateur ou votre tablette parce que le problème se trouve sur les sites web eux-mêmes.
OS X 10.9 Mavericks est livré avec une version d'OpenSSL, mais elle n'est pas concernée par le bogue.
Comment puis-je vérifier si un site web est touché par la faille Heartbleed ?
Certains sites web ont été créés pour vérifier la vulnérabilité des serveurs web. Pour les plus curieux maîtrisant l'anglais, essayez https://ssllabs.com/ssltest/ ou http://filippo.io/Heartbleed/.
Les sites d'Apple sont-ils fiables ? Sont-ils affectés par cette vulnérabilité ?
Des tests indiquent que les sites appartenant à Apple ne sont pas touchés par cette faille.
Où me renseigner à propos de Heartbleed ?
Allez sur cette page "all about the Heartbleed bug" créé par les gens de Codenomicon (en anglais).
Vous pourrez aussi trouver des références en français sur ces sites traitant de l'actualité du monde Apple :
La presse généraliste francophone n'est pas en reste :
Commentaires