Internet

09 avril 2014 06:06; Act: 09.04.2014 06:21 Print

Importante faille dans un logiciel d'encodage

Un logiciel utilisé par la moitié des sites contient une importante faille, ont mis en garde mardi des spécialistes informatiques. Elle permet aux pirates de pénétrer dans les ordinateurs pour y récupérer codes et mots de passe.

Une faute?

La faille, baptisée «heartbleed» («coeur qui saigne»), a été découverte sur le logiciel OpenSSL, qui est utilisé pour protéger ses mots de passe, ses numéros de cartes bancaires ou d'autres données sur Internet.

Il est utilisé par la moitié des sites web, mais la faille n'existe pas sur toutes les versions. Par cette faille, les pirates peuvent récupérer des informations en passant par la mémoire des serveurs de l'ordinateur, selon des spécialistes de la société de sécurité informatique Fox-IT.

«Le nombre d'attaques qu'ils peuvent effectuer est sans limites», indique Fox-It dans un billet recensant les procédures à suivre pour repousser les incursions.

«Joyaux de la couronne»

Parmi les informations susceptibles d'être récupérées par les pirates figurent le code source (instructions pour le microprocesseur), les mots de passe, et les «clés» utilisées pour déverrouiller des données cryptées ou imiter un site.

«Ce sont les joyaux de la couronne, les clés d'encodage elles-mêmes», souligne le site heartbleed.com qui détaille les vulnérabilités de la faille. Ces clés «permettent aux pirates de décrypter tous les trafics, passés et à venir, vers les services protégés et d'imiter ces services».

Grâce à cette faille, des chercheurs en sécurité informatique ont rapporté avoir été capables de récupérer des informations de mots de passe de Yahoo!, qui a précisé mardi avoir pu résoudre le problème. Selon Fox-IT, cette faille existe depuis deux ans environ.

(ats)

Fragen und Antworten rund um die Kommentar-Funktion
«Warum dauert es manchmal so lange, bis mein Kommentar sichtbar wird?»

Unsere Leser kommentieren fleissig - durchschnittlich gehen Tag für Tag 4000 Meinungen zu allen möglichen Themen ein. Da die Verantwortung für alle Inhalte auf der Website bei der Redaktion liegt, werden die Beiträge vorab gesichtet. Das dauert manchmal eben einige Zeit.

«Gibt es eine Möglichkeit, dass mein Beitrag schneller veröffentlicht wird?»

Wer sich auf 20 Minuten Online einen Account zulegt und als eingeloggter User einen Beitrag schreibt oder auf einen Kommentar antwortet, der wird vorrangig behandelt. Hat ein eingeloggter User bereits viele Kommentare verfasst, die freigegeben wurden, so werden seine neuen Beiträge mit oberster Priorität behandelt.

«Warum wurde mein Kommentar gelöscht?»

Womöglich wurde der Beitrag in Dialekt verfasst. Damit alle deutschsprachigen Leser den Kommentar verstehen, ist Hochdeutsch bei uns Pflicht. Sofort gelöscht werden Beiträge, die Beleidigungen, Verleumdungen oder Diffamierungen enthalten. Auch Kommentare, die aufgrund mangelnder Orthografie quasi unlesbar sind, werden das Licht der Öffentlichkeit nie erblicken. (oku)

«Habe ich ein Recht darauf, dass meine Kommentare freigeschaltet werden?»

20 Minuten ist nicht dazu verpflichtet, eingehende Kommentare zu veröffentlichen. Ebenso haben die kommentierenden Leser keinen Anspruch darauf, dass ihre verfassten Beiträge auf der Seite erscheinen.

Haben Sie allgemeine Fragen zur Kommentarfunktion?

Schreiben Sie an feedback@20minuten.ch
Hinweis: Wir beantworten keine Fragen, die sich auf einzelne Kommentare beziehen.

L'espace commentaires a été désactivé
L'espace commentaires des articles de plus de 72 heures est automatiquement désactivé en raison du très grand nombre de messages que nous devons valider sur des sujets plus récents. Merci de votre compréhension.

Les commentaires les plus populaires

  • H4x0r le 09.04.2014 09:31 via via Mobile Report dénoncer ce commentaire

    1337

    Décidément le 20 minutes et les news techno... RIP

  • Sébastien Forestier le 09.04.2014 09:40 Report dénoncer ce commentaire

    Conséquences et recommendations

    Cette faille restera béante de nombreuses années sur un grand nombre de sites, mais sera probablement corrigée très rapidement sur les sites les plus importants, les plus sérieux. On doit considérer que la majorité de nos mots de passe de sites Internet sont potentiellement dévoilés et devraient être changés. D'autre part cela confirme la nécessité d'avoir des mots de passe différents pour chaque site si possible, ou au moins par catégorie de site, afin que si un mot de passe est dévoilé par les pirates lorsque vous accédez un site donné, cela ne leur donne les clés de tous les autres sites.

  • Cé Mouâ le 09.04.2014 08:07 via via Mobile Report dénoncer ce commentaire

    pas vraiment non

    Les sites sérieux étaient déjà à jour hier ? Pas vraiment non. Postfinance et Crédit Suisse sont ok depuis ce matin seulement.

Les derniers commentaires

  • patagon le 09.04.2014 09:41 Report dénoncer ce commentaire

    Shit happens

    Beaucoup font fortune sur de la camelote, beaucoup croient encore que de mettre le prix vaut la qualité, produire moins vite est de la qualité certains l'on compris il mettent la pédale douce et s'en sortent plus que bien

    • Sébastien Forestier le 09.04.2014 10:54 Report dénoncer ce commentaire

      Attentions aux phrases à l'emporte-pièce

      Il est vraiment surprenant qu'une telle faille existe sur un produit autant critique et autant audité que OpenSSL. Je dirais même choquant. Cependant l'argument général de la qualité, le coût etc, c'est très populiste et n'alimentera que des discussions de café du commerce. Faire de la qualité absolue est impossible surtout en matière de sécurité informatique. La complexité des cas de figure est simplement trop immense pour pouvoir garantir de faire tout juste avec les capacités humaines. Mais il y a souvent moyen d'améliorer beaucoup, je ne dis pas le contraire.

    • Agnès S. le 09.04.2014 12:01 Report dénoncer ce commentaire

      OPENssl

      Faire fortune ? OpenSSL ? Pour rappel OpenSSL est un projet open-source (sous licence BSD) qui n'est entretenu que par quelques développeurs qui recherchent activement de nouveaux contributeurs pour aider à trouver ce genre de failles avant que les nouvelles versions soient publiées. Après évidemment, les entreprises utilisent la librairie OpenSSL dans leurs produits sans forcément étudier le code source, fournir une aide financière pour le projet ou même "prêter" des développeurs pour améliorer le produit. Si c'était le cas, cette librairie serait probablement de bien meilleure qualité.

    • Sébastien Forestier le 09.04.2014 12:40 Report dénoncer ce commentaire

      Oui et non

      Agnès S.: partiellement d'accord - même si les entreprises utilisant les produits open-source y contribuaient toutes pour les "améliorer" cela ne les améliorerait pas nécessairement pour la sécurité. Garantir la sécurité est l'affaire de spécialistes. Tout les informaticiens devraient en connaître les bases mais seuls des experts peuvent la garantir. Or la plupart du temps contribuer à un logiciel open-source revient à y ajouter des choses, ce qui augmente les risques sécuritaires (sécurité va souvent de pair avec simplicité). Donc augmenter la sécurité passe bcp par des spécialistes sécurité.

    • Agnès S. le 09.04.2014 18:28 Report dénoncer ce commentaire

      Given enough eyeballs ...

      "Avec suffisamment d'yeux, les bugs sont minimisés" comme le dit un dev bien connu. Actuellement trop peu de développeurs lisent le code source de OpenSSL, les bugs existent donc et ne sont découverts que bien trop tard comme le montre cet épisode. De plus, lorsque des gens contribuent à des librairies telles que OpenSSL, le but est très rarement d'ajouter des fonctionnalités, celles-ci étant déjà déterminées par les standards. L'amélioration ne pourra donc se faire que sur les parties non-implémentées des standards (meilleure crypto à la clé donc), sur la vitesse et sur la sécurité.

    • Sébastien Forestier le 09.04.2014 23:13 Report dénoncer ce commentaire

      C'est bien mais ça ne garantit rien

      Les standards se multiplient. On fait tout et n'importe quoi dans des librairies qui se sont significativement éloignées de leur but simple d'origine. De manière générale et même pour OpenSSL on met trop de fonctionnalités ce qui est au détriment de la sécurité. C'est vrai que plus il y a de monde qui REVOIT le code plus les bugs sont minimisés mais les personnes travaillant sur un code donné y.c. OpenSSL passent trop proportionnellement trop peu de temps à REVOIR le code (si ça avait été le contraire la faille, qui est d'une catégorie très "connue", aurait été trouvée depuis longtemps).

  • Sébastien Forestier le 09.04.2014 09:40 Report dénoncer ce commentaire

    Conséquences et recommendations

    Cette faille restera béante de nombreuses années sur un grand nombre de sites, mais sera probablement corrigée très rapidement sur les sites les plus importants, les plus sérieux. On doit considérer que la majorité de nos mots de passe de sites Internet sont potentiellement dévoilés et devraient être changés. D'autre part cela confirme la nécessité d'avoir des mots de passe différents pour chaque site si possible, ou au moins par catégorie de site, afin que si un mot de passe est dévoilé par les pirates lorsque vous accédez un site donné, cela ne leur donne les clés de tous les autres sites.

  • H4x0r le 09.04.2014 09:31 via via Mobile Report dénoncer ce commentaire

    1337

    Décidément le 20 minutes et les news techno... RIP

  • KahSky le 09.04.2014 08:52 via via Mobile Report dénoncer ce commentaire

    7 avril

    Les experts ont déjà entendu parler de la faille le 7 avril. Ce qui est le plus dangereux, c'est qu''elle ne laisse aucune trace vu que la session de l'utilisateur semble valide et sécurisée.

  • Cé Mouâ le 09.04.2014 08:07 via via Mobile Report dénoncer ce commentaire

    pas vraiment non

    Les sites sérieux étaient déjà à jour hier ? Pas vraiment non. Postfinance et Crédit Suisse sont ok depuis ce matin seulement.