NEW YORK, 12 avril 2014 (AFP) - Presque une semaine après sa découverte, la faille informatique Heartbleed fait l'unanimité chez les experts pour ce qui est de sa gravité mais l'ampleur des dégâts reste difficile à évaluer.
Heartbleed ("coeur qui saigne" en français) touche les versions postérieures à mars 2012 d'une portion de programme baptisée OpenSSL, intégrée à nombre de sites internet, serveurs de messagerie et autres accès distants aux entreprises de type VPN.
"C'est sans aucun doute une vulnérabilité critique", indique à l'AFP Thomas Gayet, un spécialiste de la lutte contre la cybercriminalité du cabinet français de conseil en sécurité informatique Lexsi. "Il y a des systèmes vulnérables depuis 2012" et "il y a pu y avoir une fuite de données".
Les pirates ne peuvent pas cibler précisément leurs attaques mais "si sur les deux dernières années des gens ont eu la connaissance de cette vulnérabilité et l'ont utilisée, cela maximise leurs chances d'obtenir des informations sensibles", juge l'expert.
L'agence de renseignement américaine NSA, dont l'espionnage à grande échelle sur internet avait été divulgué l'an dernier par son ancien consultant Edward Snowden, a en tout cas démenti formellement vendredi avoir eu connaissance et exploité Heartbleed.
Thomas Gayet reconnaît qu'il "n'est pas facile a posteriori de savoir si la faille a été utilisée" car cela "ne laisse pas de traces dans les fichiers".
La liste des victimes potentielles est très longue.
Parmi des services en ligne contactés par l'AFP, les groupes internet Yahoo! et Google, le réseau social Facebook et sa filiale de partage de photos Instagram, le site de vidéo en streaming Netflix, ou encore la plateforme de réservation d'hébergements chez l'habitant Airbnb ont effectué une mise à jour de sécurité.
Le site de distribution Amazon.com et le réseau LinkedIn se disent en revanche épargnés. Apple a assuré que ses systèmes d'exploitation iOS et OSX, ainsi que ses "services en ligne clé", n'étaient pas affectés. Idem pour "la plupart" des services de Microsoft, dont la messagerie Outlook, la messagerie vidéo Skype ou la suite de bureautique en ligne Office 365.
- Mots de passe -
A côté des géants du web, les banques américaines ont été appelées par leurs régulateurs à remédier "le plus vite possible" à la faille. La première d'entre elles, JPMorgan Chase, a assuré vendredi que ses consommateurs n'avaient pas été exposés.
"Les grands groupes ont pu régler le problème assez vite", explique à l'AFP Tim Maurer, expert en sécurité de la New America Foundation. "Ce sont les entreprises plus petites et de taille moyenne qui n'ont pas nécessairement les ressources et les équipes d'experts en sécurité pour mettre leur système à jour rapidement".
Autre raison de craindre que le problème soit compliqué à régler: des fournisseurs d'infrastructures de réseaux informatiques et télécoms, comme Cisco ou Juniper Networks, soulignent que leurs équipements peuvent eux aussi être affectés.
Si Google estime que ses utilisateurs "n'ont pas besoin de changer leurs mots de passe", la mesure reste recommandée par beaucoup d'acteurs.
Facebook dit ainsi n'avoir "aucun signe d'activité suspecte" mais propose à ses membres de "saisir l'occasion (...) pour créer un mot de passe unique pour leur compte Facebook qui ne soit pas utilisé sur d'autres sites".
Yahoo! suggère en outre "de fournir un numéro de téléphone comme moyen secondaire d'identification".
Changer tous ses mots de passe sans discernement est "un mauvais conseil", prévient toutefois sur son site Graham Cluley, analyste indépendant spécialisé en sécurité informatique. "On devrait seulement changer les mots de passe sur les sites qui ont confirmé avoir réglé le problème. Le reste augmenterait en réalité les chances que vos informations privées soient interceptées" par des pirates se dépêchant d'exploiter la faille avant sa disparition.
D'autres pourraient aussi, selon lui, utiliser Heartbleed comme prétexte pour des tentatives de "fishing", des courriels demandant de changer un mot de passe et renvoyant sur de fausses copies de sites internet populaires.
Les experts conseillent également aux internautes de surveiller avec une attention particulière leurs comptes bancaires, pour repérer une éventuelle transaction suspecte.
Heartbleed ("coeur qui saigne" en français) touche les versions postérieures à mars 2012 d'une portion de programme baptisée OpenSSL, intégrée à nombre de sites internet, serveurs de messagerie et autres accès distants aux entreprises de type VPN.
"C'est sans aucun doute une vulnérabilité critique", indique à l'AFP Thomas Gayet, un spécialiste de la lutte contre la cybercriminalité du cabinet français de conseil en sécurité informatique Lexsi. "Il y a des systèmes vulnérables depuis 2012" et "il y a pu y avoir une fuite de données".
Les pirates ne peuvent pas cibler précisément leurs attaques mais "si sur les deux dernières années des gens ont eu la connaissance de cette vulnérabilité et l'ont utilisée, cela maximise leurs chances d'obtenir des informations sensibles", juge l'expert.
L'agence de renseignement américaine NSA, dont l'espionnage à grande échelle sur internet avait été divulgué l'an dernier par son ancien consultant Edward Snowden, a en tout cas démenti formellement vendredi avoir eu connaissance et exploité Heartbleed.
Thomas Gayet reconnaît qu'il "n'est pas facile a posteriori de savoir si la faille a été utilisée" car cela "ne laisse pas de traces dans les fichiers".
La liste des victimes potentielles est très longue.
Parmi des services en ligne contactés par l'AFP, les groupes internet Yahoo! et Google, le réseau social Facebook et sa filiale de partage de photos Instagram, le site de vidéo en streaming Netflix, ou encore la plateforme de réservation d'hébergements chez l'habitant Airbnb ont effectué une mise à jour de sécurité.
Le site de distribution Amazon.com et le réseau LinkedIn se disent en revanche épargnés. Apple a assuré que ses systèmes d'exploitation iOS et OSX, ainsi que ses "services en ligne clé", n'étaient pas affectés. Idem pour "la plupart" des services de Microsoft, dont la messagerie Outlook, la messagerie vidéo Skype ou la suite de bureautique en ligne Office 365.
- Mots de passe -
A côté des géants du web, les banques américaines ont été appelées par leurs régulateurs à remédier "le plus vite possible" à la faille. La première d'entre elles, JPMorgan Chase, a assuré vendredi que ses consommateurs n'avaient pas été exposés.
"Les grands groupes ont pu régler le problème assez vite", explique à l'AFP Tim Maurer, expert en sécurité de la New America Foundation. "Ce sont les entreprises plus petites et de taille moyenne qui n'ont pas nécessairement les ressources et les équipes d'experts en sécurité pour mettre leur système à jour rapidement".
Autre raison de craindre que le problème soit compliqué à régler: des fournisseurs d'infrastructures de réseaux informatiques et télécoms, comme Cisco ou Juniper Networks, soulignent que leurs équipements peuvent eux aussi être affectés.
Si Google estime que ses utilisateurs "n'ont pas besoin de changer leurs mots de passe", la mesure reste recommandée par beaucoup d'acteurs.
Facebook dit ainsi n'avoir "aucun signe d'activité suspecte" mais propose à ses membres de "saisir l'occasion (...) pour créer un mot de passe unique pour leur compte Facebook qui ne soit pas utilisé sur d'autres sites".
Yahoo! suggère en outre "de fournir un numéro de téléphone comme moyen secondaire d'identification".
Changer tous ses mots de passe sans discernement est "un mauvais conseil", prévient toutefois sur son site Graham Cluley, analyste indépendant spécialisé en sécurité informatique. "On devrait seulement changer les mots de passe sur les sites qui ont confirmé avoir réglé le problème. Le reste augmenterait en réalité les chances que vos informations privées soient interceptées" par des pirates se dépêchant d'exploiter la faille avant sa disparition.
D'autres pourraient aussi, selon lui, utiliser Heartbleed comme prétexte pour des tentatives de "fishing", des courriels demandant de changer un mot de passe et renvoyant sur de fausses copies de sites internet populaires.
Les experts conseillent également aux internautes de surveiller avec une attention particulière leurs comptes bancaires, pour repérer une éventuelle transaction suspecte.