De nouvelles failles de sécurité web

Il y a deux mois de cela, internet a tremblé face à la révélation de la faille de sécurité nommée Heartbleed détectée dans en avril dans la bibliothèque OpenSSL. Une nouvelle faille vient d'être rendue publique récemment dans cette même bibliothèque, heureusement moins critique que Heartbleed.

Cette faille du logiciel OpenSSL était d’une importance telle qu’elle a affecté la sécurité des données de centaines de millions d’internaute. Pour rappel, Heartbleed permettait à un pirate d’accéder à des données sensibles, sensées être sécurisées comme les données bancaires, et autres mots de passe. Suite à cette révélation, il était important de décrypter le logiciel OpenSSL et de référencer les autres failles pouvant être considérées comme critiques.

Une nouvelle faille de sécurité critique

Au début du mois de juin, un chercheur japonais du nom de Masashi Kikuchi a découvert une faille de sécurité qui a été classée critique. La mauvaise nouvelle est que cette faille est présente dans le code OpenSSL depuis ses débuts, soit il y a 15 ans, en 1998. De plus, cette faille aurait pu être comblée de puis longtemps selon le chercheur japonais, si l’on avait pris la peine de tester le code d’OpenSSL. La bonne nouvelle est que cette faille est moins importante que Heartbleed.

En effet, selon OpenSSL Foundation la faille est de type « Man in the middle », ce qui signifie que la connexion cryptée entre un ordinateur et un serveur est fragilisée donc susceptible d’être piratée. Cependant, pour pouvoir exploiter cette faille, il y aurait plusieurs conditions requises, comme le fait que le pirate et l’utilisateur soient connectés au même réseau et utilisent la même version d’OpenSSL.

Découverte d’autres bugs

Dans la foulée, six autres vulnérabilités au logiciel ont été découvertes, mais ont toutes été considérées comme moins importantes. Ces failles concernent des risques d’attaque par déni de service ou d’injection de code. Afin d’apporter des solutions à ces différentes failles, le groupe OpenSSL a déjà fourni les patches correctifs nécessaires pour les combler.

La sécurité web comme priorité

Quand on voit l’impact et les menaces que peuvent représenter les failles de sécurité sur le web ou les systèmes d’exploitation, il est compréhensible de voir les acteurs important de l’information et de la technologie, faire des efforts pour y remédier et protéger les utilisateurs. Par exemple, les sociétés comme Facebook, Microsoft ou encore Google récompensent les personnes ayant trouvé des failles dans leur système. De leur côté, les principaux développeurs de navigateur web (Chrome, Safari, Firefox, Internet Explorer) livrent régulièrement des mises à jour de sécurité pour leurs logiciels.