Une faille du protocole OpenSSL présent dans Android a été récemment découverte. Elle permet de subtiliser des informations envoyées à travers Internet dès que le protocole est utilisé. C’est par exemple le cas des connexions HTTPS aux webmails ou aux sites bancaires. Si la faille a fait pas mal paniquer, nous vous proposons quelques solutions pour garder la tête froide.

Heartbleed-fix

Heartbleed, c’est quoi ?

La faille qui touche le protocole OpenSSL nommée CVE-2014-0160 serait présente depuis environ 2 ans. Des chercheurs viennent de découvrir ce bug qui permet à des personnes mal intentionnées de subtiliser les données personnels des connexions utilisant OpenSSL et donc les protocoles SSL et TLS. C’est notamment le cas du HTTPS qui permet de se connecter aux sites sensibles comme les réseaux sociaux, les webmails ou encore les sites bancaires. Mais d’autres utilisations sont faites du OpenSSL comme les applications de client mail ou encore les serveurs hébergeant les sites web. Dans ce dernier cas, ce sont surtout les professionnels qui sont touchés lors de la transmission des données entres les serveurs Web. OpenSSL est implanté dans certaines distributions de Linux ainsi que sur Mac OS.

 

Android est-il touché ?

Android étant basé sur Linux, il est potentiellement vulnérable à cette faille. Et la version d’OpenSSL actuellement disponible sur Android, la 1.0.1f, est vulnérable. La faille touche toutes les versions d’OpenSSL de la 1.0.1 à la 1.0.1f. La version 1.0.1g sortie le 7 avril a permis de supprimer le bug. Mais pour être déployée sur Android, il faudra une mise à jour de la ROM du téléphone. Il ne reste plus qu’à espérer que les constructeurs jouent le jeu mais on peut craindre que certains téléphones anciens ne soient pas mis à jour et restent alors vulnérables.

openssl-checker-4-3-s-307x512

Comment se prémunir de la faille ?

Si votre terminal, votre ordinateur et même le serveur se lequel vous vous connectez dispose de l’ancienne version d’OpenSSL, il y a un risque. Dans le cas de votre androphone, certains, dont des éditeurs d’antivirus, ont créé des applications dédiées pour vérifier la version d’OpenSSL sur votre terminal. C’est le cas par exemple de Heartbleed Detector. Toutefois, si votre terminal est dans la faille, tout dépendra de la promptitude des constructeurs ou opérateurs à délivrer un correctif.

En ce qui concerne les sites internet et leurs serveurs, il est possible de les checker avant de vous connecter. Une liste des sites vulnérables existe sur Github. Il est d’ailleurs possible de tester les serveurs des sites Internet.

La révélation de Heartbleed aux yeux du monde est une bonne chose car elle permet à tous et à toutes de connaître les risques et d’inciter les différents acteurs à agir en conséquence. La faille a une solution, grâce à sa mise à jour. Si un site sur lequel vous avez l’habitude de vous connecter est concerné par la faille, attendez quelques jours le temps que le site fasse le nécessaire.

Co-rédacteurs : Vincent & Léo