•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

L'impact de la faille Heartbleed s'étend bien au-delà des serveurs Internet

Photo : Radio-Canada

Reuters

La faille de sécurité Heartbleed pourrait permettre à des pirates informatiques d'accéder à des boîtes de courriels, de contourner des pare-feux, voire de pirater des téléphones portables, selon des spécialistes en informatique qui ont prévenu jeudi que les risques pourraient s'étendre au-delà des seuls serveurs Internet.

Cette vulnérabilité majeure, présente depuis environ deux ans, mais dévoilée seulement en début de semaine, résulte d'un défaut de programmation dans le logiciel OpenSSL, utilisé par de nombreux sites pour établir des connexions sécurisées.

Si des correctifs ont été mis au point dans l'urgence pour les serveurs web de groupes comme Amazon.com, Google ou Yahoo!, des fragments de code défaillants
subsistent dans d'autres services tels que la messagerie, les logiciels de sécurité, les jeux en ligne, les PC et les téléphones mobiles des utilisateurs.

« Tout le monde dans le secteur de la sécurité ne parle que de ça », a déclaré Chris Morales, de NSS Labs, une entreprise spécialisée dans la cybersécurité.

Comme la faille Heartbleed peut être exploitée sans laisser de traces, les spécialistes craignent que de nombreux réseaux aient été la cible de visiteurs malveillants à l'insu de tous.

L'ensemble du secteur mobilisé

« J'attends un correctif », a indiqué Jeff Moss, conseiller auprès du département de la Sécurité intérieure et fondateur de l'événement annuel DEF CON sur le piratage, qui utilise les produits de McAfee, filiale d'Intel. « Tous ceux qui dépendent d'un correctif d'un fournisseur sont exactement dans la même situation que moi », a-t-il ajouté.

Même lorsque les points de vulnérabilité sont repérés, il est impossible de prendre des mesures pour résoudre le problème tant que l'entreprise qui commercialise le produit en question n'a pas publié un correctif.

Un porte-parole d'Intel a refusé de s'exprimer sur le sujet, renvoyant Reuters à un blogue du groupe indiquant : « Nous comprenons que les entreprises traversent une période difficile alors qu'elles doivent se démener pour mettre à jour de multiples produits provenant de multiples vendeurs au cours des prochaines semaines. Les produits McAfee utilisant des versions d'OpenSSL concernées [par ce problème] sont vulnérables et doivent être mis à jour. » On ne précise pas quand ces mises à jour de sécurité seront diffusées.

D'autres acteurs du secteur se mobilisent de la même façon. Microsoft, potentiellement exposé par l'entremise de son service de stockage de données en ligne OneDrive et de sa plate-forme de jeux Xbox, a indiqué dans un communiqué qu'un « petit nombre de services continuaient à être passés en revue et mis à jour avec des protections supplémentaires ».

Le groupe, qui compte des centaines de millions de clients par l'intermédiaire de son système d'exploitation Windows et de sa suite bureautique Office, n'a pas donné plus de précisions.

Quant à Google, il pourrait être affecté par le problème en raison de la version 4.1.1 de son système d'exploitation Android, d'après Jeff Forristal, responsable de la technologie chez Bluebox Security. Le moteur de recherche a refusé de commenter cette découverte, mais certains experts recommandent d'éviter d'utiliser tout appareil susceptible d'être vulnérable.

Cisco Systems, numéro un mondial des équipements de réseaux, a déclaré sur son site qu'il analysait sa gamme de produits et qu'il avait découvert une dizaine de cibles potentielles, dont le serveur de visioconférence TelePresence. Un porte-parole du groupe a refusé de préciser l'effet éventuel de ces problèmes sur les clients, indiquant que Cisco fournirait davantage d'information dès qu'il y aurait du nouveau.

Les représentants d'IBM et de Hewlett-Packard n'ont pas pu être joints. Ceux de Dell, du spécialiste du matériel de stockage informatique EMC et de l'éditeur de logiciels Oracle ont refusé de s'exprimer dans l'immédiat.

Selon Bloomberg, l'Agence de sécurité nationale (NSA) était au courant depuis deux ans de l'existence de la faille de sécurité Heartbleed. Or, la NSA, plutôt que d'alerter le public de cette vulnérabilité, aurait régulièrement exploité la faille pour obtenir des renseignements confidentiels. Interrogé par Bloomberg, un porte-parole de la NSA a toutefois refusé de confirmer ces informations.

International