Une importante vulnérabilité de sécurité, baptisée « Heartbleed », a été rapportée récemment avec le logiciel OpenSSL qui est un produit largement utilisé afin de sécuriser les communications. Celui-ci permet d’établir une connexion sécurisée entre un ordinateur et une application (ex. : Web), en cryptant les informations échangées afin de protéger les données personnelles et confidentielles. Par exemple, lors d’une connexion à un site Web sécurisé, un petit cadenas apparait et l’adresse du site débute par https://) garantissant la sécurité de la communication.
Cette vulnérabilité pourrait permettre à un pirate informatique de récupérer des informations sensibles comme des mots de passe, des numéros de carte de crédit, des clés utilisées pour déverrouiller des données cryptées, etc. Cette faille a d’ailleurs forcé plusieurs sites gouvernementaux canadiens, utilisant potentiellement une version vulnérable du logiciel OpenSSL, à suspendre leurs accès et services Web.
Heureusement, ce ne sont pas tous les sites Web ou toutes les applications qui exploitent une version vulnérable d’OpenSSL et un correctif est maintenant disponible afin de corriger cette faille. Toutefois, sa gravité reste difficile à évaluer, car cette brèche ne laisse pas de traces dans les fichiers.
Les utilisateurs doivent donc redoubler de vigilance, car des personnes malintentionnées peuvent se servir de cette vulnérabilité, largement médiatisée, afin d’exploiter des techniques d’hameçonnage. Le tout, en transmettant de faux courriels demandant le changement de mot de passe via un lien Web falsifié afin d’en soutirer des informations personnelles.
De plus, cette situation fait prendre conscience aux utilisateurs des impacts possibles de la réutilisation d’un même mot de passe pour différents services (ex. : courriel, réseaux sociaux, bancaires, etc.) advenant qu’un mot de passe soit compromis.
Pour plus de détails, consultez les site : https://heartbleed.com/
Patrick Paradis, conseiller en sécurité de l’information