Sites Inria

English version

Cybersécurité

Martin Bellet (Citizen Press) - 17/06/2014

Qu’a-t-on appris de la faille Heartbleed ?

Stéphane Glondu Stéphane Glondu - Inria Nancy

En avril, le grand public apprenait l’existence d’une faille majeure des protocoles de sécurité sur Internet : Heartbleed.

Stéphane Glondu, ingénieur Inria Nancy – Grand Est pour les équipes CASSIS et CARAMEL revient sur cette découverte et ses enseignements.

Pouvez-vous nous expliquer ce qu’est Heartbleed ?

- Sur Internet, plusieurs briques logicielles permettent d’échanger des informations sécurisées à travers le réseau. L’une d’entre elles, l’OpenSSL, est très répandue, principalement sur les serveurs fonctionnant avec Linux et Apache. Or, c’est précisément sur cette combinaison qu’une faille a été découverte. Baptisée Heartbleed, elle permet à un « attaquant » de récupérer des portions de mémoire vive du serveur. À force de répéter l’attaque, il est alors possible d’obtenir l’intégralité des informations, comme des mots de passe de clients, des clés de signature…

 

Comment se protéger de ce type d’attaques ?

- En mettant à jour les logiciels des serveurs ! Dès que la faille à été identifiée, un correctif a très vite été publié et diffusé, avant même qu’Heartbleed ne soit rendu public. Cette règle de bon sens élémentaire permet de se prémunir de la plupart des risques d’intrusion.

De leur côté, les particuliers n’ont que peu de moyens pour se protéger contre ce type d’attaques. Changer son mot de passe régulièrement reste encore la parade la plus efficace. De même, il faut veiller à ce que son navigateur web soit à jour.

 

Quelles sont les conséquences d’Heartbleed ?

- Aujourd’hui, il n’y a pas de certitude que cette faille ait pu être exploitée. Autre point positif qu’il ne faut pas oublier, notre société a les moyens de corriger les éventuelles conséquences d’un piratage : révocation d’une carte bleue, annulation des transactions frauduleuses… Le seul risque concerne les informations privées, comme des photos compromettantes par exemple. Il faut éviter au maximum de partager ce genre de données !

 

Quel est l’apport Inria dans la lutte contre ce type de failles ?

- Inria, et plus généralement toute la communauté de recherche française, conçoivent des protocoles pour éviter un nouvel Heartbleed. Plus concrètement, nous nous glissons dans la peau de l’attaquant pour imaginer toutes les attaques possibles. Si l’une d’elles porte ses fruits, nous développons alors une correction que nous diffusons immédiatement. C’est un travail quotidien.

L’autre volet de notre action consiste à sensibiliser le public sur la sécurité informatique : appliquer les mises à jour, éviter d’ouvrir les pièces jointes douteuses…

 

Les mots de passe sont très vulnérables à ce type d’attaques, comment pourrait-on renforcer la sécurité sur Internet ?

- Une solution commence à émerger : l’authentification à deux facteurs. Cela consiste à s’identifier deux fois, de deux moyens différents, en utilisant un mot de passe, puis un code reçu par SMS ou par email. C’est à la fois simple et efficace et cela rend les attaques beaucoup plus difficiles à mettre en œuvre. Encore plus sûr, l’utilisation d’une carte à puce, combinée avec un code PIN, existe déjà dans certains milieux et pourrait bien se généraliser.

Le vrai défi, c’est de faire en sorte que la solution retenue reste simple et rapide à utiliser, car le grand public n’aime pas les contraintes. J’étudie en ce moment des systèmes de vote par Internet. Certains protocoles sont très évolués et sécurisés, mais trop compliqués à utiliser. Je concentre donc mes efforts sur des systèmes plus fonctionnels, pour lesquels je vais identifier les limitations qui seront ensuite corrigées.

Mots-clés : Mot de passe Sécurité Confidentialité Cryptographie Logiciel libre Heartbleed

Haut de page

Suivez Inria