La faille Heartbleed menace les données « sécurisées » sur internet

La confiance en internet a pris un nouveau coup avec la découverte d’une importante faille de sécurité dans un logiciel de cryptage utilisé par la moitié des sites, et censé protéger mots de passe et autres données bancaires.

La faille, baptisée « Heartbleed » (« coeur qui saigne »), touche certaines versions d’OpenSSL, un logiciel libre très utilisé pour les connexions sécurisées sur internet, matérialisées par exemple par une adresse démarrant par https ou un petit cadenas lors des transactions bancaires et de l’identification sur un site internet. Ce type de connexion sert aussi souvent pour les messageries instantanées, les échanges de courriels, ou les réseaux privés VPN.

Elle peut permettre à des pirates de récupérer dans la mémoire des serveurs informatiques des données fournies lors de connexions protégées, selon des spécialistes de la société de sécurité informatique Fox-IT. Cette dernière estime que la faille existe depuis une version d’OpenSSL sortie il y a deux ans environ.

Le collectif qui est derrière OpenSSL a publié une alerte de sécurité et recommandé à ses utilisateurs de passer à une version améliorée du logiciel. Il précise que c’est un chercheur de Google Security, Neel Mehta, qui a découvert la faille.

« Attendez-vous à ce que tous ceux qui gèrent un serveur internet (sécurisé) https se démènent aujourd’hui », prévient le Tor Project, un autre collectif qui défend l’anonymat en ligne, dans un avertissement sur son site internet.

Et de suggérer, pour ceux qui ont « besoin de vrai anonymat ou de protection de leur vie privée sur internet » de « rester complètement à l’écart d’internet dans les prochains jours, le temps que les choses soient réglées ».

Le conseil a été suivi en partie par les services fiscaux canadiens, qui ont désactivé mercredi la partie de leur site internet permettant aux contribuables d’accéder à leurs dossiers fiscaux, en invoquant Heartbleed.

– « Joyaux de la couronne » –

Parmi les informations susceptibles d’êtres récupérées par les pirates figurent des codes sources (des fichiers qui rassemblent les instructions que doit exécuter un microprocesseur), des mots de passe, et des « clés » utilisées pour accéder à des données cryptées ou imiter un site.

« Ce sont les joyaux de la couronne, les clés de cryptage elles-mêmes », souligne heartbleed.com, un site internet mis en place pour détailler les caractéristiques de la faille: elles « permettent aux pirates de décrypter toutes les connexions passées et à venir avec les services protégés ».

La faille ne concerne pas toutes les versions d’OpenSSL. Elle ne permet pas à un pirate d’obtenir plus de 64 kilo-octets de données à la fois, ni de contrôler précisément à quelle partie de la mémoire du serveur informatique il accède, selon des spécialistes en sécurité informatique.

Mais les pirates peuvent procéder à des attaques en série sur le même serveur pour augmenter leurs chances de pêcher des informations de valeur. « Le nombre d’attaques qu’ils peuvent effectuer est sans limite », prévient Fox-IT dans un billet recensant les procédures à suivre pour repousser les incursions.

Des spécialistes en cyber-sécurité disent avoir utilisé la faille pour récupérer des mots de passe pour les services du groupe internet américain Yahoo!. Ce dernier a affirmé mardi dans un communiqué avoir résolu le problème.

On ne sait pas encore si Heartbleed a été effectivement exploitée par des pirates, mais les gestionnaires de site ayant utilisé des versions compromises d’OpenSSL doivent passer à des versions plus sûres ou procéder à des mises à jour de sécurité développées en urgence.

Ils devront aussi changer les identifications de sécurité permettant aux navigateurs de confirmer leur authenticité. Si des pirates ont mis la main dessus, ils pourraient en effet créer des copies frauduleuses de leur site, avec l’objectif de tromper les internautes en vue de récupérer davantage de données.

Certains experts conseillent aussi aux internautes de modifier par précaution les mots de passe des comptes ou services en ligne qu’ils veulent protéger.

Le site heartbleed.com (en anglais)

Le site Tor Project (en anglais)

===============================================================================

Données personnelles: l’annulation de la loi européenne sème le désordre

Saluée par les défenseurs des libertés, l’annulation de la loi européenne imposant la conservation des données téléphoniques et autres courriels pendant au moins 6 mois provoque une certaine anarchie au sein de l’UE et consterne les responsables de la lutte contre la cybercriminalité et le terrorisme.

Le président du groupe libéral au Parlement européen, l’ancien Premier ministre belge Guy Verhofstadt, a salué une « bonne décision judiciaire ».

Mais le directeur du Centre européen contre le Cybercrime, Troels Oerting, a déploré « une capacité désormais très limitée à identifier les cyber-criminels et les agresseurs d’enfants en ligne ».

Mardi, la Cour de Justice de l’UE a annulé la législation européenne adoptée en 2006 après le choc des attaques terroristes commises à Madrid en 2004 et à Londres en 2005.

« La Cour est allée plus loin que l’avocat général, qui réclamait une révision de certains aspects de la loi. Elle l’a purement et simplement annulée avec effet rétroactif », a souligné une source européenne à l’AFP. « La conséquence est un vide juridique et une certaine anarchie, car les opérateurs commencent à agir en ordre dispersé », a-t-il expliqué.

M. Oerting a cité l’annonce du fournisseur de services internet suédois Bahnhof de « cesser immédiatement la conservation des données et de détruire toutes les informations conservées ».

Attaquée par des opérateurs téléphoniques irlandais et autrichiens, la législation imposait de conserver pendant au moins 6 mois toutes les métadonnées des communications, à savoir le numéro de l’appel et le numéro ou l’adresse contactés, les heures et lieu d’appel afin de rechercher et poursuivre des « infractions graves ».

La Cour a reconnu l’utilité de cette législation, mais l’a invalidée car « elle comporte une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée ».

L’Association belge des fournisseurs de services internet (ISPA) a demandé au gouvernement de clarifier rapidement les conséquences de cet arrêt qui conduit à « une situation d’insécurité juridique ».

– « Casse-tête » –

Les législations nationales en matière de conservation des métadonnées restent en vigueur et « continuent à lier les opérateurs télécoms », a indiqué le ministère luxembourgeois de la Justice.

Le jugement va poser problème aux pays qui ont transposé la législation européenne dans leur droit national, comme la France.

Mais surtout, elle annihile l’harmonisation réalisée au niveau des Etats membres. « On va se retrouver à nouveau avec des législations disparates, certaines très restrictives, d’autres pas du tout, selon les pays », a commenté une source proche du dossier. « Cela va poser d’énormes problèmes pour la coopération au niveau européen et va être un casse-tête pour les opérateurs qui travaillent dans plusieurs Etats », a-t-elle ajouté.

Les services de la Commission européenne « analysent le jugement afin de déterminer quelles sont ses conséquences », a indiqué Michele Cercone, porte-parole de la Commissaire chargée des Affaires intérieures, Cecilia Malmström. Mme Malmström s’était engagée à réviser la loi, mais elle attendait la décision de la Cour européenne pour orienter ses propositions.

L’arrêt a pointé trois problèmes: la durée de conservation des données, jugée « disproportionnée », le manque de protection contre les risques d’abus, et l’absence de mesures pour « limiter au strict nécessaire » l’ingérence dans la vie privée des individus.

L’annulation de la législation européenne impose de présenter une nouvelle proposition aux Etats et au Parlement européen, ont assuré à l’AFP plusieurs sources européennes. « Ce sera très difficile de faire cela rapidement », a soutenu une des sources. Il faudra attendre l’élection du nouveau Parlement européen le 25 mai, et la désignation de la nouvelle Commission européenne qui entrera en fonction en novembre.

L’eurodéputée libérale néerlandaise Sophie In’t Veld a mis en garde contre toute tentation de renouveler le caractère sécuritaire de la législation annulée. « Les prochaines législations relatives à la lutte contre le terrorisme devront respecter notre vie privée et protéger pleinement les données à caractère personnel », a-t-elle affirmé.

Publicités