Qu'est-ce que Heartbleed?
En informatique, un « heartbeat » ou « battement de coeur » est une façon pour deux systèmes de vérifier que l'autre est encore là. C'est dans l'implémentation de ce battement de coeur qu'il y a eu un bogue. Par exemple, au lieu de demander au serveur de te renvoyer « AlgerLaBlanche, 14 caractères », tu pouvais demander, « AlgerLaBlanche, 500 caractères ». Comme la limite était de 64.000 caractères (64 k), c'était facile d'obtenir beaucoup d'informations qui se trouvaient dans la mémoire du serveur, mais qui n'auraient jamais dû être envoyées.

D'où vient le Heartbleed?
Suite à une proposition de correction d'un ancien bug de la fonctionnalité dans le référentiel d'OpenSSL, un développeur allemand bénévole a proposé, en 2011, une correction qui fut validée par l'équipe d'OpenSSL. En avril 2014, le bug a été découvert, de manière indépendante, par l'équipe sécurité de Google et par des ingénieurs de la société finlandaise Codenomicon.

heartbleed.jpgCette faille pourrait permettre à des pirates informatiques de récupérer des données situées sur les serveurs d'un site Internet dit sécurisé. Des informations et données personnelles censées être inaccessibles et protégées. Néanmoins, un informaticien de Google ayant participé à la correction de la faille reste plus mesuré et écrit n'avoir vu que des informations parcellaires ou ne pas avoir vu d'informations sensibles. D'autre part, le site Internet CloudFlare explique que ses spécialistes en sécurité n'ont pas réussi à exploiter la faille pour extraire des clés de sécurité SSL. Cependant, Après avoir appliqué des mises à jour de sécurité, de nombreux sites Internet demandant déjà à leurs utilisateurs de changer leur mot de passe.

Que peut faire un internaute pour se protéger?
Ça ne sert à rien de changer votre mot de passe avant que la faille en question n'ait été réparée. Il faut quand même changer son mot de passe régulièrement pour se protéger d'autres formes de piratage. Ça demeure une bonne pratique, mais qui ne s'applique pas dans le cas de Heartbleed.