Passer au contenu

Les premiers piratages basés sur Heartbleed se font jour

Au Royaume-Uni, un forum destiné aux mamans britanniques a été siphonné avant que le correctif n’ait pu être installé. Au Canada, 900 numéros d’assurance sociale ont été dérobés.

Une semaine après la révélation de la fameuse faille Heartbleed, les premiers piratages d’importance se dévoilent. Au Royaume-Uni, les données de 1,5 million d’usagers du forum Mumsnet, destiné aux mamans britanniques, ont pu être dérobées par des pirates ayant tiré avantage de la faille informatique Heartbleed, a révélé lundi 14 avril Justine Roberts, la fondatrice de ce site internet qui offre aux utilisateurs un forum où ils peuvent poser les questions de leur choix sur tout ce qui concerne les enfants. « La semaine dernière, nous avons pris connaissance de l’existence de la faille Heartbleed et nous avons immédiatement appliqué un correctif pour pallier la vulnérabilité des espaces sécurisés de type OpenSSL », a-t-elle indiqué dans un communiqué. « Toutefois, il est apparu que des données d’utilisateurs entrées sur notre page de connexion ont été consultées avant que nous ayons appliqué le correctif », a-t-elle ajouté.

Les services de Mumsnet ont demandé au 1,5 million d’usagers du site de changer leur mot de passe mais Justine Roberts ignorait combien d’utilisateurs avaient pu avoir leurs données piratées. « Le pire scénario est qu’on ait eu accès aux données de chaque compte des usagers de Mumsnet », a-t-elle dit. « Il est possible que ces informations aient été utilisées pour se connecter au site et avoir accès à l’historique des messages diffusés sur le forum, aux messages personnels et au profil personnel des utilisateurs, même si nous n’avons aucune preuve qu’un compte ait été utilisé pour quoi que ce soit d’autre que de signaler la violation de la sécurité », a-t-elle expliqué.

Une intrusion qui a duré six heures

Un autre vol de données a été découvert au sein de l’administration fiscale canadienne. Un ou des pirates informatiques ont profité de la faille de sécurité pour voler 900 numéros d’assurance sociale au Canada, le numéro incontournable pour toutes les démarches administratives d’identité des personnes. Comme de nombreux sites en ligne recourant à des espaces sécurisés de type OpenSSL – grands moteurs internet, réseaux sociaux ou sites d’administration – le fisc canadien avait reconnu la semaine dernière sa vulnérabilité à Heartbleed. L’Agence du revenu du Canada (ARC) avait fermé le 8 avril son espace sécurisé permettant aux contribuables d’accéder à leur dossier fiscal.

Cependant, l’ARC a été informé par les services de renseignements qu’une « infraction malveillante aux données des contribuables » a été constatée sur « une période de six heures », a indiqué le commissaire de l’ARC, Andrew Treusch, dans un communiqué. « Les numéros d’assurance sociale (NAS) d’environ 900 contribuables ont été soutirés des systèmes de l’ARC par quelqu’un qui a exploité la faille Heartbleed », a-t-il ajouté, sans exclure que des informations confidentielles relatives à des entreprises aient pu également être dérobées.

Le NAS permet pour les Canadiens ou les résidents au Canada d’engager les principales démarches auprès des administrations, mais aussi des banques ou des organismes de prestations médicales et sociales. Ce numéro à neuf chiffres est obligatoire pour prétendre à un emploi. Certains organismes utilisent ce NAS comme numéro de dossier de leurs clients pour éviter d’en créer d’autres, selon le Commissariat à la protection de la vie privée au Canada.

Avec le NAS, quiconque peut « trouver vos données personnelles dans une base de données » et accéder à « un profil détaillé sur votre personne, ce qui équivaut à de la surveillance de données ou à de la surveillance de votre vie », met en garde cet organisme. Le fisc canadien va adresser un courrier recommandé à toutes les personnes victimes de ce piratage, mais n’enverra aucun courrier électronique directement aux usagers afin d’éviter toute tentative d’hameçonnage (« phishing »). Le Commissaire de l’ARC a déposé plainte et la Gendarmerie royale du Canada a ouvert une enquête sur cette intrusion informatique dans un système sécurisé du gouvernement canadien.

Il est probable, malheureusement, que ces deux piratages ne resteront pas isolés. D’autres vols de données seront certainement découverts dans les jours ou semaines qui viennent.

Lire aussi:

Faille Heartbleed : testez la vulnérabilité de vos services en ligne, le 09/04/2014
Heartbleed, la faille de sécurité qui affole le web, le 10/04/2014

  

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn, avec AFP