Cette année, deux failles de sécurité ont été détectées : il s’agit de Heartbleed découvert en Avril et de Shellshock mise en évidence en Septembre. Malgré leur similitude, leur exploitation ne tend pas vers les mêmes buts. Par contre, ces bugs peuvent faire beaucoup de dégâts si les pirates en prennent connaissance. Jusqu’à présent, le principal problème rencontré chez les utilisateurs est qu’ils ignorent leur situation vis-à-vis de ces deux failles de sécurité.
Le bug Heartbleed
D’après les experts, le bug Heartbleed donne aux pirates l’opportunité de voler une fraction des données des internautes stockées sur leurs serveurs web. Parmi les informations sensibles concernées, on peut citer en exemple les identifiants et les mots de passe, les coordonnées bancaires, les courriels arrivant ou expédiés via la messagerie électronique, etc. Il est également fort possible que les clés de chiffrement sécurisant le transit sur le serveur soient également compromises donc les experts font appel à la prudence de chacun.
Selon les explications données par les connaisseurs, la faille Heartbleed neutralise le service OpenSSL, responsable de la confidentialité des internautes lorsqu’ils évoluent sur Internet. Même si le bug a été créé en 2011 au cours de la mise à jour de ce service, son existence n’a été dévoilée au public qu’en Avril dernier. Plusieurs sites, que ce soient les grosses pointures ou les petites structures, sont concernés par cette faille étant donné que le code OpenSSL est particulièrement populaire. Pour aider les internautes à vérifier leur situation vis-à-vis de ce service, plusieurs outils sont actuellement disponibles sur le web.
Pour les spécialistes du réseau, l’existence du cadenas placé côte à côte avec l’Url ne garantit plus la sécurité des internautes lorsqu’ils évoluent sur le web. Le point positif est qu’avec la faille de sécurité Heartbleed, les pirates n’auront accès qu’à seulement 64 KB de la mémoire du serveur d’un site web. En outre, ils n’auront aucun contrôle sur les données qu’ils vont repêcher. Le meilleur moyen de lutter contre ce bug serait de réparer la faille au plus tôt.
Le bug Shellshock
Shellshock, un nouveau bug découvert par un ingénieur français, est en vie depuis 22 ans mais il n’a été découvert que tout récemment. D’après l’expert en sécurité informatique, il n’attaque que le logiciel Bash, programme sollicité par les utilisateurs lorsqu’ils souhaitent modifier leur système d’exploitation. Jusqu’à présent, la marque la plus vulnérable n’a pas encore proposée un correctif pour cette faille.
Par rapport à son alter ego Heartbleed, la faille Shellshock donne accès à la totalité des informations stockées sur le système d’exploitation. Jusqu’à présent, on n’a pas encore de statistique exacte concernant le nombre de PC touchés. Il est également fort possible que de nombreux internautes soient exposés mais qu’ils méconnaissent leur situation. En dehors des ordinateurs, les appareils connectés à Internet : montre, frigo, etc. ne peuvent être atteints par Shellshock à cause de sa lourdeur.
En attendant d’en savoir plus et de connaitre la répercussion de ces deux failles de sécurité, Heartbleed et Shellshock, il vaut mieux rester prudent.
Spam, anti-spam, mta, email, fqdn 