Imagé par un cœur rouge, voici ce que l’on surnomme Heartbleed bug. La communauté du web fait face à une menace virtuelle, mais bien réelle. Est-ce que vos informations confidentielles sont compromises ? Que signifie cette menace ? Ai-je été touché ou fraudé ? Dois-je prendre des actions afin de me protéger ? À l’ère où le commerce en ligne semble prendre son envol, est-ce que cet événement doit tout remettre en question?
Pour la majorité des utilisateurs du web, il est difficile de comprendre ce qu’est Heartbleed. Il faut bien comprendre que cela ne s’agit pas d’un virus mais bel et bien d’une faille dans un système de sécurité complexe ayant pour but d’encrypter des informations soumises sur un site web. Comme l’explique cet article de Radio-Canada (ici), la faille était aussi grave que sournoise. L’ampleur était telle que usagers, compagnies ou institutions ont pu, à leur insu, se faire dérober de l’information. La faille, présente depuis 2 ans (!), a laissé bien assez de temps pour être découverte et exploité par des personnes mal intentionnées. Le côté sournois de cette faille vient surtout du fait qu’aucune trace ne pouvait être enregistrée lors de tentatives de substitution des données. Il est donc pratiquement impossible de savoir si il y a eu interception, et quelles informations ont pues être interceptés.
L’annonce récente de l’Agence du Revenu du Canada et de quelques autres grands sites internet dans le monde s’étant fait dérobé des informations confidentielles sur leurs usagers laisse à penser que les événements se sont déroulé peu de temps après l’annonce de la faille. L’absence de mesures rapides de l’ARC pour corriger la faille a permis à certains individus d’utiliser Heartbleed pour dérober de l’information.
Heureusement, bien que la faille ait potentiellement rendu disponible une tonne d’informations confidentielles, quelques lignes de codes suffisent à corriger le problème. Une simple erreur d’inattention lors de la rédaction du programme peut se résoudre très facilement. Une simple mise-à-jour du programme sur les serveurs corrigera la faille. Une fois le serveur mise à jour, un changement de mot de passe sera nécessaire afin de s’assurer que toutes informations subtilisées ne soient pas utilisée à mauvais escient. Un tableau mise à jour par Google permet de vérifier quel service est touché et quand il est recommandé de changer nos mots de passe (À consulter ici)
Les experts en programmation informatique affirment tous que des bugs semblables se produisent tous les jours. Ils n’empêchent pas le bon fonctionnement des systèmes mais n’assure pas non plus l’intégrité de sa vocation. Nous constatons donc, encore une fois, que le web n’est qu’à ses premiers pas. Assurément il trébuchera encore avant d’atteindre un plus grand degré de maturité.
Sources : https://ici.radio-canada.ca/nouvelles/societe/2014/04/11/007-heartbleed-definition-changer-mot-passe-questions.shtml https://branchez-vous.com/2014/04/14/pour-mieux-comprendre-heartbleed/ https://www.lemouv.fr/diffusion-heartbleed-la-faille-de-securite-bien-marketee
De voir avec quelle facilité un jeune a réussi à dérober des informations disponible dans les serveurs de l’ARC, ce qui me surprend le plus étant le fait que ces informations étaient disponibles au premier niveau.
Je m’explique, accéder et traverser un serveur WEB via une faille n’est pas une chose rare, du moment qu’on rend accessible un bâtiment, il y’a toujours quelqu’un qui va réussir à trouver une manière d’entrer. La base de la sécurité est d’arriver dans un espace qui ne contient rien de précieux et qu’il faille accéder à un tunnel qui lui amène vers un deuxième bâtiment sécurisé, évidement, ce tunnel doit être sécurisé d’une manière différente que le premier.
La faille est que pour simplifier et couper les coûts ou simplement par méconnaissance, des firmes spécialisés en technologie rendent les informations directement disponible avec une première authentification réussie aux données sensibles.
Et là, nous ne parlons pas des gens qui ont des moyens beaucoup plus sophistiqués et puissant comme la NSA, ce n’est pas à la porté de tout le monde.
En effet, il y a matière a se questionner sur les barrières de sécurité mises en place pour protéger les infrastructures informatiques du gouvernement. Il ne s’agit pas d’un simple site internet et beaucoup d’informations sensibles y sont stockés.
Merci de votre commentaire très pertinent.