Heartbleed.fr

Faille de sécurité OpenSSL

Qu'est-ce que la faille Heartbleed ?

Quelles informations peut-on récupérer avec la faille Heartbleed ?

Les pirates exploitant cette faille récupérent de manière aléatoire des données provenant de la mémoire vive du serveur, qui peuvent être totalement inutiles ou bien stratégiques, comme par exemple les identifiants des derniers utilisateurs s'étant connectés au service.  Il s'agit d'une faille difficile à détecter pour l'administrateur d'un site ou d'un service web, car la récupération de données via Heartbleed ne laisse pas de trace.

Quels systèmes sont touchés par la faille Heartbleed ?

La faille touche les serveurs OpenSSL ayant effectué en 2011 la mise à jour du logiciel dénommée Heartbeat. Parmi les services touchés par Heartbleed, figurent des solutions aussi populaires que les Web Services d’Amazon, les messageries Gmail ou Yahoo, les banques d'images Flickr et Imgur, mais aussi des solutions telles que Facebook, Instagram, Twitter, etc. Des tests conduits sur les principaux sites au monde établissent qu'environ 5 % d'entre eux ont été affectés.

Il est à noter que ce ne sont pas seulement les sites web qui ont été affectés, mais également les PC, tablettes et les smartphones.

Comment savoir si un service est affecté ?

Divers services gratuits en ligne, recensés à cette page, permettent de savoir si un service est affecté.

Est-ce que la faille Heartbleed est réparée ?

Les correctifs nécessaires à la suppression de la faille Heartbleed sont disponibles sur le site d'OpenSSL : openssl.org/news/secadv_20140407.txt

Sur les sites ayant effectué les mises à jour, il n'est plus possible d'exploiter cette faille pour récupérer un grand nombre de données.