Faille OpenSSL (Heartbleed): pan dans la gueule à nous tous

[Mis à jour 10/04/2014] Il faut vraiment prendre au sérieux la nouvelle qu’une faille vieille de deux ans vient d’étre découverte dans OpenSSL, même si, parce que c’est un logiciel libre, elle vient d’être colmatée dans les distributions GNU/Linux. Cette faille nous affecte tous. Que faire?

Heartbleed, affreuse faille d’OpenSSL

En quelques mots, la faille redoutable mais qui tient dans une minuscule erreur et qu’on a appelée «HeartBleed», affecte apparemment un serveur sur trois dans le monde. Elle nous concerne tous potentiellement.
Mais, bonne nouvelle, notre hébergeur, TuxFamily n’est en rien affecté parce que leur version de GNU/Linux a une ancienne version d’OpenSSL sans faille. Heartbleed concerne les versions 1.0.1 à 1.0.1f et la version 1.0.2-beta d’OpenSSL.

Si vous allez sur un site sécurisé, vous voyez un cadenas juste avant l’URL dans le champ de Firefox. Regardez sur Libres-Ailé(e)s, l’URL commence par HTTPS, il n’y a pas nécessairement de cadenas mais un triangle d’avertissement, mais c’est sécurisé quand même, car TuxFamily signe lui-même son certificat:
Libres-Ailé(e)s en accès sécurisé HTTPS. Cet article vous explique un peu ce qu’est un site sécurisé. Cela permet de ne pas transférer des informations toutes nues (on dit «en clair»), que tout le monde peut lire, comme un mot de passe, un numéro de carte bancaire, un email. Les informations sont chiffrées, donc impossibles à déchiffrer sans avoir la bonne clé.

Notre site, hébergé chez Tuxfamily, n’est pas du tout affecté par cette faille.

Mais si vous avez un compte en banque en ligne avec un mot de passe, téléphonez à votre banque pour savoir si leurs serveurs sont de nouveau sûrs. Il faudra changer votre mot de passe impérativement.

Ne vous connectez plus sur des sites sécurisés pendant plusieurs jours. Si vous pouvez, téléphonez ou informez-vous pour voir si tel site important pour vous a réagi.
S’ils ont mis à jour tout le bazar de sécurité, vous pouvez vous connecter et vous devez changer impérativement votre mot de passe.

Sur Google, Facebook, Yahoo, etc., aucune importance: il n’y a jamais eu de sécurité sur ces sites puisqu’ils vous volent vos données. En plus, ils refilent tout (vos emails et tout le reste) à la NSA.

Heartbleed: le cœur du Libre peut saigner

Une faille aussi néfaste dans un programme de sécurité si important et si largement utilisé dans le monde, c’est sacrément catastrophique.

Edward Snowden nous a donné un message d’espoir face à l’espionnage généralisé que pratique la NSA: «Crypto works!»: Le chiffrement des données, ça marche. C’est la seule arme que nous avons pour nous défendre.
Néanmoins, si des programmes comme OpenSLL foirent, le chiffrement s’écroule. En l’occurence, cela veut dire que depuis deux ans, des tonnes d’informations ont été récupérées et tranquillement déchiffrées par la NSA. En effet, cela veut dire que nombre de clés privées, qui garantissent que la communication entre un serveur et votre ordinateur est impossible à déchiffrer, ont été récupérées par la NSA sans aucune difficulté. La clé vous ouvre le message, tout simplement.

Nous n’avons aucune idée de l’ampleur du désastre mais si cela concerne un serveur sur trois dans le monde, depuis deux ans, c’est considérable.

Heartbleed, une goutte d’eau

Dans le fond, Heartbleed est une goutte d’eau, comparé aux «backdoors» («portes dérobées») qui sont présentes, sans aucun espoir d’être supprimées, dans tous les ordinateurs Windows et Mac et dans tous les smartphones actuels.
Les serveurs Windows n’ont pas été touchés par HeartBleed car ils n’utilisent pas OpenSSL mais ça n’est même pas un avantage puisqu’ils ont tous leurs portes dérobées, depuis des années, et ils les conserveront jusqu’à ce que le matériel finisse à la déchetterie. Sans parler de maintes autres failles présentes sur les systèmes privateurs qui ne sont ou jamais décelées ou jamais corrigées.

Vous n’avez pas besoin de jeter votre ordinateur possédé par Windows. Installez simplement une distribution GNU/Linux. Au moins, même si la NSA arrive à installer un truc maléfique sur votre GNU/Linux, ça ne restera pas là des années.

Le Libre: l’espoir

Nous pouvons avoir un peu d’espoir avec le Libre:

  • La faille a été corrigée le jour même de sa découverte
  • Tout de suite après, le logiciel corrigé a été mis à la portée d’une simple commande, apt-get update && apt-get dist-upgrade (Debian et ses dérivées dont Ubuntu et ses dérivées), ou les variantes de cette commande, selon les distributions (ArchLinux, Mageia, Gentoo, Slack, etc.).
  • Après une telle catastrophe, les développeurs de GNU/Linux et tous les geeks vont certainement se remettre au boulot avec ardeur pour améliorer la sécurité des serveurs et du web.
  • NSS, qui semble un meilleur programme qu’OpenSSL, pourra peut-être percer un peu plus (pour l’instant, c’est Mozilla qui l’utilise et ils doivent être tout fiers!)
  • OpenSSL pourra sans doute être amélioré considérablement et recevoir l’aide d’une équipe plus nombreuse
  • On a l’espoir qu’il y aura plusieurs programmes de sécurité qu’un seul dominant, comme OpenSLL l’a été jusqu’ici — Eh oui :-D des développeurs d’OpenBSD ont commencé à faire un nouveau programme équivalent à OpenSSL, nommé LibreSSL, avec du bon code bien propre et une équipe pour s’en occuper.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *