Un armageddon numérique pour vous bouger les fesses ?

Heartbleed (2)Via un site Internet licite d’une université américaine, ZATAZ.COM a constaté des centaines de sites Internet Français vulnérables à la faille Heartbleed. Dans la liste, sont référencées des banques, des universités, des Fournisseurs d’Accès à Internet ou encore des structures sensibles liées aux transports ou à l’énergie. Enquête !

Petit rappel historique. Lundi 7 avril 2014, une faille de sécurité particulièrement dangereuse était découverte dans certaines versions du logiciel OpenSSL. OpenSSL, un outil de chiffrement qui permet, en autres, d’assurer une confidentialité dans les communications sur Internet. La vulnérabilité est baptisée « cœur qui saigne« , Heartbleed. Le risque ? Quand vous voyez apparaitre dans votre navigateur le petit cadenas, et le HTTPS de l’url, vous êtes en droit de vous dire que la communication et le chemin que vous allez emprunter sont sécurisés. Le protocole SSL qui permet cette sécurité chiffre les données. Normalement, personne ne pourra donc avoir accès à vos mots de passe, contenus de courriel, … Si l’OpenSSL est faillible, vos informations sont purement et simplement en danger. Vos précieux deviennent lisible comme un bouton sur le nez.

Une possibilité de fuite de données faille tellement importante que la CNIL va diffuser une alerte et un article sur le sujet précisant que « la faille Heartbleed rend possible la récupération d’informations confidentielles sur un serveur [et que] L’article 34 de la loi Informatique et Libertés impose une obligation de sécurisation des données à caractère personnel. » Il était fortement conseillé de mettre à jour les serveurs vulnérables, afin de ne plus utiliser de version affectée par la faille ; de révoquer les clés et certificats utilisés ; de renouveler les clés et mettre à jour les certificats correspondants et pour finir, de de renouveler les moyens d’authentification des utilisateurs, notamment leurs mots de passe, une fois les correctifs appliqués. Bref, nous étions donc en avril 2014 et Facebook, Gmail, Youtube, Yahoo Mail, Dropbox, GoDaddy, Darty, … étaient touchés par cette inquiétante faille.

Plus d'un an plus tard, plusieurs centaines de TRES importants serveurs toujours faillibles à Heartbreed.

Plus d’un an plus tard, plusieurs centaines de TRÈS importants serveurs toujours faillibles à Heartbleed.

1 an plus tard, on prend les mêmes

Via un site Internet appartenant à une université américaine, que nous ne citerons pas ici en raison du fait que les 3/4 des sites, que le protocole d’alerte de ZATAZ.COM a alerté avec l’aide de James L., n’ont toujours pas été corrigés, la rédaction de ZATAZ.COM a pu constater des milliers de serveurs et sites toujours faillibles à Heartbleed. Autant dire qu’à la lecture des logs proposés par cet espace universitaire, totalement licite, c’est le petit cœur tendre de la rédaction de zataz qui saignait.

Ce portail universitaire, basé dans le Michigan, regroupe des archives publiques permettant aux chercheurs d’extraire des statistiques. Autant dire qu’il est possible de retrouver beaucoup d’autres informations de ce big data local. Des millions de données qui ont permis à la rédaction de zataz.com d’extraire, uniquement pour la France, 2 Go d’informations ne traitant que de la faille qui nous intéresse aujourd’hui. Plus inquiétant, dans cet inventaire à la Prévert, nous avons pu retrouver des dizaines d’écoles (Universités, télécoms, Mines, …) ; des structures liées à l’énergie comme des serveurs EDF, GrDF ; des Banques ; des Centres Hospitaliers ; des Chambres de Commerce et d’Industrie ; des Ministères ; des opérateurs téléphoniques … Pour les cas les plus sensibles, nous avons contacté l’Agence nationale de la sécurité des systèmes d’information (ANSSI) afin de tirer les oreilles aux mises à jour retardataires. A noter que les banques concernées, et l’ensemble des opérateurs alertés ont corrigé.

Il est vrai qu’il serait dommage de se dire que des « espions » étatiques, cachés sous une tente Special Collection Service par exemple, n’auraient plus qu’à sniffer les données qui passeraient par leurs petites oreilles… qui saigneraient rapidement par autant de facilité d’interception.

Action, réaction
Pour contrôler à savoir si votre site, votre serveur sont faillibles à Heartbleed, plusieurs espaces Internet vous proposent de le faire en deux clics de souris. D'abord via Filippo. Simple, vous rentrez votre url dans l'espace dédié et vous attendez le verdict. Le site heartbleed.com (en Anglais) vous apportera les informations utiles. Des applications pour Chrome et Firefox sont disponibles. Ne pas oublier vos appareils portables sous Android (2) (ordiphone, tablette).

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. Pingback: ZATAZ Magazine » Rétro : Un été caniculaire chez les pirates

  2. Pingback: ZATAZ La NSA dit ne pas cacher sa gestion des 0Day - ZATAZ

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.