La résolution des problèmes causés par le bug Heartbleed pourrait être plus longue que prévu avec, à la clé, des perturbations possibles au niveau des services.
Dès que le bug Heartbleed a défrayé la chronique, l’on avait mentionné sur le site web concerné la possibilité que des clés de cryptage et des certificats de sécurité puissent avoir pris la clé des champs. “La fuite de ces clés peut amener un pirate à décrypter le trafic passé et futur avec le service sécurisé et, le cas échéant, se faire passer pour ce dernier”, pouvait-on y lire. L’on utilise les certificats de sécurité pour garantir à l’utilisateur (client, etc.) que le service auquel il souhaite recourir, est bien celui-là. Ces certificats sont émis par une Certificate Authority (CA) qui, à son tour, forme la base de la confiance en ceux-ci (le cas Diginotar aux Pays-Bas avait en son temps douloureusement démontré les conséquences produites par une CA non fiable).
Problème démontré
Après l’annonce d’Heartbleed, l’on avait admis que le piratage des clés et certificats ne serait pas si simple, mais un test récent effectué par l’entreprise de sécurité américane CloudFlare contredit cette position. L’entreprise a ainsi lancé le défi de voler ce genre de certificat sur un serveur aux prises avec le bug Heartbleed, et dans les neuf heures qui ont suivi, le vol était devenu une réalité. En tout, le certificat a été dérobé à quatre reprises.
Selon des experts, ce résultat implique que les certificats de sécurité de tous les services impliqués – plus de 500.000 – devraient être annulés et renouvelés. Cela n’irait pas sans conséquence car normalement, lors d’une visite d’un service de ce genre, un navigateur va d’abord vérifier si le certificat concerné est encore valable. Si la liste des certificats annulés atteignait des centaines de milliers d’exemplaires, ce contrôle pourrait durer particulièrement longtemps et impacterait l’accessibilité… De plus, l’on peut se demander dans quelle mesure tous ces services suivront bien le conseil de changer lesdits certificats, en fonction de ce qu’ils seront ou non conscients de cette nécessite (ou de l’attention que l’on y aura suscitée).
Une fois de plus, voilà qui met une pression supplémentaire sur les épaules des exploitants des magasins web, entreprises et institutions publiques quant à la manière de communiquer clairement et rapidement les mesures qu’ils prennent vis-à-vis de Haertbleed: impacté? Oui – non! Et dans l’affirmative, où en est-on dans les mesures indispensables prises ou à prendre?
