Passer au contenu

La faille Heartbleed est là pour durer

Plus de 300.000 systèmes sont toujours vulnérables, deux mois après la découverte de ce bug. Selon un expert en sécurité, ce n’est pas prêt de se résorber. Il faudra vivre avec.

Mauvaise nouvelle : la faille Heartbleed, qui a secoué la Toile il y a deux mois, ne disparaîtra probablement jamais. Robert Graham, un consultant de la société Errata Security, vient de faire un scan sur Internet et a découvert 309.197 systèmes toujours vulnérables. Or,  il y a un mois il en avait dénombré 318.239, et 600.000 au moment de la découverte de la faille. « Cela indique que les gens n’essayent même plus d’appliquer le patch. On devrait assister à une légère décroissance dans les 10 ans qui viennent, suite au renouvellement des appareils. Mais même d’ici à dix ans, je suis certain que je trouverai encore des milliers de systèmes vulnérables, y compris des systèmes critiques », explique Robert Graham.

De quels systèmes parle-t-on ? Heureusement, ceux des services les plus utilisés – Facebook, Google, Yahoo, etc. – avaient été rapidement corrigés. Il reste donc les sites web moins fréquentés, mais aussi des systèmes auxquels on ne pense pas directement comme les appareils connectés (webcam, disques durs en réseaux…) et les applications mobiles. Les internautes ont donc intérêt à rester vigilants et à vérifier que les sites exotiques qu’ils consultent ne sont pas vulnérables, au travers des différents tests en ligne.

A noter, enfin, la multiplication d’alternatives au protocole OpenSSL, responsable de la faille Heartbleed. En avril, des développeurs ont lancé le projet LibreSSL, qui vise à créer un dérivé (fork) d’OpenSSL dont le code serait nettoyé et audité d’un point de vue sécurité. De son côté, Google veut regrouper un certain nombre de fonctionnalités censées améliorer OpenSSL dans une librairie baptisée BoringSSL. Tout un programme…

Lire aussi :

Tout savoir sur l’énorme faille Heartbleed, en 7 questions, le 11/04/2014

Source:

Note de blog d’Errata Security

 

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn