Modifié

La sécurité des données sur internet fragilisée par une énorme faille

Zoom sur un nouveau virus informatique très virulent. [antonio]
Parmi les informations susceptibles d'être récupérées par les pirates figurent le code source, les mots de passe. - [antonio]
Une faille de sécurité baptisée "heartbleed" a été découverte dans le logiciel OpenSSL, utilisé pour protéger les mots de passe, les numéros de cartes bancaires ou d'autres données en ligne.

Des spécialistes informatiques ont mis en garde mardi contre une importante faille dans un logiciel de cryptage utilisé par la moitié des sites Internet. Elle pourrait permettre à des pirates de récupérer des codes et mots de passe.

La faille, baptisée "heartbleed" ("coeur qui saigne"), a été découverte sur le logiciel OpenSSL, qui est utilisé pour protéger ses mots de passe, ses numéros de cartes bancaires ou d'autres données sur internet, selon des spécialistes de la société de sécurité informatique Fox-IT.

"Joyaux de la couronne"

Parmi les informations susceptibles d'être récupérées par les pirates figurent le code source, les mots de passe, et les "clés" utilisées pour déverrouiller des données cryptées ou imiter un site.

"Ce sont les joyaux de la couronne, les clés d'encodage elles-mêmes", souligne le site heartbleed.com. Ces clés "permettent aux pirates de décrypter tous les trafics, passés et à venir, vers les services protégés et d'imiter ces services".

afp/fb

Publié Modifié

Le géant Yahoo! touché par la faille

Grâce à cette faille, des chercheurs en sécurité informatique ont rapporté avoir été capables de récupérer des informations de mots de passe de Yahoo!, qui a précisé mardi avoir pu résoudre le problème.

Parmi les plus grandes sociétés en ligne, seule Yahoo! semble avoir été touchée. Selon Le Monde, Google, Microsoft, Facebook, Apple et les principaux services bancaires et d'e-commerce ne sont pas concernés.

Faille présente depuis deux ans

La faille a été découverte en décembre 2011, mais elle vient d'être corrigée par la version 1.0.1g d'OpenSSL publiée le 7 avril. Les versions touchées vont de la 1.0.1 à 1.0.1f sauf deux exceptions, 1.0.0 branch et 0.9.8.

Un billet sur le site Tor Project, qui milite pour l'anonymat en ligne, exhorte ceux qui ont des besoins élevés en matière de protection en ligne d'éviter d'utiliser internet pendant quelques jours, afin de permettre aux sites et aux serveurs d'améliorer leur sécurité.