Heartbleed est un bug que des chercheurs finlandais et un groupe de Google Security ont découvert lundi 7 Avril. Ils ont évalué que jusqu’à deux-tiers des piliers de la sécurité en ligne des sites Internet ont pu être affectés.
Des données qu’on pensait être sécurisées ont été peut être touchées par ce bug «heartbleed», dont la découverte n’a été annoncée que lundi par un groupe de Google Security et des chercheurs finlandais de Codenomicon. Ils ont évalué que la faille a affecté deux-tiers des piliers de la sécurité en ligne des sites Internet, comme le protocole OpenSSL qui est utilisé pour coder le trafic entre un serveur et le PC d’un utilisateur.
En théorie, les lettres «https» et un symbole de cadenas signifient que des données sont sécurisées, mais le bug «heartbleed» fonctionne d’une autre manière. Une fois touché, un site web rejette les derniers données stockées temporairement dans sa mémoire vive au lieu de les sécuriser. Un mot de passe ou une donnée importante comme un numéro de carte bancaire peuvent se trouver parmi ses données. Heureusement, un patch a été publié dès Lundi pour combler la faille.
Tous les gestionnaires Web vont être obligés d’effectuer une mise à jour vers la version OpenSSL 1.0.1g sur leurs systèmes. Google a déclaré au journal 20 minutes :
«Nous avons corrigé le bug très tôt et les utilisateurs de Google n’ont pas besoin de changer leur mot de passe. »
Depuis cette annonce, presque tous les systèmes ont eu droit à leur mise à jour, les grandes entreprises comme Facebook, Amazon, Yahoo ou PayPal l’ont déjà effectuée, et par mesure de précaution certains sites ont même bloqués leur porte d’accès, comme celle du Fisc canadien.