La faille Heartbleed globalement corrigée mais quels sont les sites encore vulnérables ?<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
La faille Heartbleed est aujourd'hui affaire classée.
La faille Heartbleed est aujourd'hui affaire classée.
©Reuters

Correction partielle

La faille Heartbleed globalement corrigée mais quels sont les sites encore vulnérables ?

La faille Heartbleed, découverte il y a peu, existe depuis deux ans. Aujourd'hui corrigée partiellement, elle permettait aux hackers et au cyberdélinquants de récupérer tout un ensemble de données personnelles sur les internautes.

Bertrand Duperrin
Bertrand Duperrin

Bertrand Duperrin

Bertrand Duperrin est directeur au sein du cabinet Nextmodernity et blogeur. Il est un des spécialistes français de l’évolution conjointe des modes de travail et des technologies.

Voir la bio »

Atlantico : La faille Heartbleed est aujourd'hui une affaire classée. Pourtant, selon l'entreprise américaine Sucuri spécialisée dans la sécurité numérique, il reste encore de nombreux sites, du moins aux Etats-Unis, qui n'ont mis en place aucune mesure contre cette faille. Est-ce le cas également en France ?

Bertrand Duperrin : Certainement. Il n’y a pas ou peu de particularismes locaux sur ces sujets, d’autant plus qu’on parle de services dont certains ont une popularité mondiale. Peu importe la nationalité du service, il est certain que des internautes Français sont encore concernés.

De quel type de sites web s'agit-il ?

Cela peut concerner tout type de site mais il est bien évident que les sites de commerce en ligne ou, dans une plus forte mesure, les banques, sont beaucoup plus critiques.

Mais davantage qu’une question de type de site c’est une question d’entreprises. Heartbleed nous a simplement montré à quel point les entreprises n'étaient pas préparées à devoir gérer ce type de problèmes. Les causes sont nombreuses : méconnaissance du nombre et des types de certificats utilisés dans l’entreprise, déconnexion entre l’IT centrale et les métiers qui gèrent parfois leurs propres initiatives etc. Sans parler de structures plus petites ou moins ambitieuses qui ne pensent pas que ce genre de choses soient vraiment critiques pour elles.

Comment repérer ces sites et éviter de prendre des risques ?

Des listes circulent sur le web et on finit par savoir qui des acteurs majeurs est en risque et ne l’est pas. Pour le reste, il existe des services qui testent les URL d’un site donné afin d'établir sa vulnérabilité (https://filippo.io/Heartbleed/ par exemple). Et de toute manière procéder à un changement régulier de mot de passe est une démarche assez saine que nous rechignons trop souvent à mettre en œuvre.

Pourquoi ces sites n'ont-ils pas changé de patch OpenSSL ? En quoi le changer permet de pallier cette faille ?

Comme dit précédemment il y a deux raisons majeures qui, finalement, sont relativement entremêlées : négligence informatique et lourdeur structurelle, la seconde causant souvent la première. Beaucoup d’entreprises ont eu du mal à identifier leurs vulnérabilités de manière exhaustive et on voit le résultat. La correction permet en effet d’empêcher des tierces personnes de récupérer les données et identifiants d’un utilisateur mais n’empêche en rien l’utilisation de données récupérées par le passé. D’où l’intérêt de changer ses mots de passe même si un patch a été appliqué sur les services que vous utilisez.

Commentaires

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !