Officiellement découverte dans la nuit de lundi à mardi, le 8 avril 2014, la faille de sécurité dénommée “Heartbleed” a causé la fermeture du service de transmission des informations fiscales de l’Agence du revenu du Canada (ARC).
Chez les comptables qui sont en pleine saison des impôts, c’est la panique parce que l’interruption de service de l’ARC dure depuis quelques jours et avec des centaines, sinon des milliers, de déclarations non-soumises qui s’accumulent dans chaque bureau de comptables, leurs clients s’impatientent et ça cause des problèmes majeurs à leurs opérations.
Ce qu’on sait de Heartbleed, une faille informatique à portée planétaire, c’est qu’il compromet la sécurité et la confidentialité des dossiers des Canadiens, peut-être même ceux transmis à l’ARC, d’où la suspension temporaire du service de transmission des rapports d’impôt.
Même si l’ARC a fermé son service de manière préventive, l’opposition à la Chambre des communes, à Ottawa questionne la ministre fédérale du revenu, Kerry-Lynne D. Findlay, pour savoir si les Canadiens ont pu être exposés aux failles que Heartbleed permet d’exploiter.
Pour l’instant, la ministre conservatrice demeure avare de commentaires et tente de se faire rassurante.
L’avenir nous dira si des informations sensibles ont pu être compromises mais la vulnérabilité des logiciels en circulation aussi tôt qu’en décembre 2011 a déjà été établie. Ouch!
Ça fait environ 28 mois “vulnérables” à vérifier…
Ce n’est pas demain la veille qu’on connaîtra le fin mot de cette inquiétante histoire!
Pour mieux expliquer le problème, partons avec la base, à savoir que les sites sécurités avec OpenSSL (qui génère une adresse https — “s” voulant dire “sécure”) sont CENSÉS être… sécures mais voilà, Heartbleed permet de décrypter les clés OpenSSL des versions 1.0.1 jusqu’à 1.0.1f.
Des sites comme Facebook, Google ou Twitter qui utilisent d’autres clés d’encryption ou des clés d’encryption OpenSSL plus modernes, comme les versions 0.9.8, 1.0.0 ou même 1.0.1g ne sont PAS VULNÉRABLES alors on peut s’attendre à ce que nos grandes banques canadiennes aussi utilisent des clés d’encryption où Heartbleed n’a pas de prise.
Au plan technique, le bug Heartbleed ouvre une toute petite fenêtre au moment où l’usager communique avec un site web sécurisé et c’est alors que toute l’information échangée peut être vue et décryptée (“en clair”). C’est très inquiétant, compte tenu de la nature privée des informations qui sont échangées dans des environnements web sécurisés.
Bonne nouvelle pour les administrateurs de services ou de sites web sécurisés, l’installation d’une nouvelle clé d’encryption ne prend moins d’une heure (ou quelques heures, tout au plus). Une fois l’installation de la nouvelle clé d’encryption terminée, il suffit de demander aux usagers d’actualiser leurs sessions sécurisées (parce que l’ancienne ne fonctionnera plus).
Les usagers de sites sécurisés devraient continuer d’être prudents en remarquant tout comportement suspect, dans leur fureteur web, au moment où ils accèdent à des pages précédées par “https” bien qu’en temps normal, ce soit plus sécuritaire qu’un site sans sécurité (“http”, sans le “s”, à la fin).
La plupart des sites web ne sont pas sécurisés afin de charger plus rapidement (ayant moins de poids qu’un site sécurisé où tout est encrypté… et lourd), c’est normal et c’est bien ainsi! D’ailleurs, les informations publiées dans la plupart des sites web sont publiques alors, ce serait inutile de les encrypter. C’est pourquoi l’encryption est généralement réservée pour les segments comme celui du paiement, dans les sites web de commerce électronique ou de transmission d’informations plus sensibles.
Le HTTPS ou transfert web sécurisé par clé est reconnu pour sa fiabilité mais dans les faits, on parle de transférer vos informations de votre maison au serveur de l’opérateur du site web (et vice-versa) de manière sécurisée (là où Heartbleed peut parfois “voir clair”, sans votre consentement) mais au fond, une fois les données stationnées dans les serveurs de l’opérateur, si les données sont clonées ou volées, vous pourriez ne jamais le savoir parce que malgré toutes les prétentions de celui-ci, les hackers sont reconnus pour être particulièrement efficaces, vu la complexité des réseaux informatiques actuellement déployés (prenez l’exemple des informations de paiement des clients de Target où des millions de clients ont été victimes du relatif laxisme de cette chaîne américaine du commerce de détail).
Ce qui rend les gens si nerveux, c’est que Heartbleed ne laisse AUCUNE TRACE après son usage alors comment connaître la réelle ampleur de son usage?
Combien de hackers ont discrètement fait usage de Heartbleed pour voler des informations sensibles au moment-même où elles étaient échanger, de manière prétendument sécuritaire?
Les médias du monde entier traitent de cet important bug informatique parce qu’il touche potentiellement à peu près tout le monde qui a échangé des informations avec des serveurs web sécurisés, depuis décembre 2011… ça fait des milliards d’échanges où l’information aurait pu être compromise — sans laisser la moindre trace.
Et le pire, dans tout ça, c’est que Heartbleed continue à profiter des vulnérabilités de l’OpenSSL, au moment de publier ce billet… et rien n’indique qu’il pourrait être stoppé, à moins que toutes les clés d’encryption soient mises-à-jour! Ça pourrait prendre pas mal de temps avant que ça arrive et qu’est-ce qui nous dit que les autres clés, immunisées contre Heartbleed, le soient aussi contre d’autres bugs dont on a pas encore découvert l’existence?
Il y a fort à parier que les hackers qui ont codé et diffusé Heartbleed à la fin de 2011 ont codé autre chose qui se promène discrètement afin de décrypter les autres clés d’encryption, plus modernes. Rien n’est sûr, évidemment mais on peut se demander si des hackers n’ont pas imaginé une façon d’ouvrir les “autres portes sécurisées”, depuis décembre 2011.
Sans tomber dans la paranoïa, Heartbleed nous rappelle que les transfert sécurisés en ligne doivent faire l’objet d’une attention toute particulière en raison de la sensibilité des données qui pourraient y être échangées. Prudence, plus que jamais…