La CNIL fait un point factuel sur Heartbleed

La CNIL française fait un point sur la faille Heartbleed, une faille touchant Open SSL et permettant, par pas de 64 Ko de mémoire, de “remonter” l’historique des communications d’un serveur, exposant les données précédemment traitées, y compris les logins, mots de passe, voire même clefs privées.

Si «les premiers tests effectués ont principalement permis de récupérer des cookies de session ou des données d’authentification», on sait désormais que la menace est plus sérieuse. «Les clés secrètes des certificats de certains sites auraient également pu être récupérées, comme cela a pu être démontré par plusieurs chercheurs dans le cadre d’un concours proposé par Cloudflare. Les clés secrètes des certificats utilisés doivent donc être considérées, a priori, comme compromises», note la CNIL.

L’ennui, avec cette faille, c’est qu’elle existe depuis de longs mois, et que son exploitation ne laisse pas de trace. Il faut donc, pour garantir la sécurité de nos données, présumer qu’elles ont été interceptées. Le correctif, OpenSSL 1.0.1g, est déjà disponible et nombre de gros acteurs de l’internet ont affirmé être protégés, ou avoir fait le nécessaire pour l’être. C’est le cas d’Apple, qui expliquait en fin de semaine dernière «qu’OS X et iOS n’ont jamais intégré le logiciel vulnérable et les services web essentiels ne sont pas affectés».

Dans les faits, et pour les utilisateurs, il convient de changer les mots de passe, mais en vérifiant que le service pour lesquels ceux-ci sont utilisés a effectué une mise à jour de sécurité. «Le renouvellement des mots de passe des utilisateurs n’est pertinent qu’après la mise en conformité des serveurs. En effet, tout mot de passe renouvelé avant la mise en conformité encourt lui-même un risque de compromission», précise la CNIL.