Cybersécurité - Innovations digitales et numériques

Ce bug montre la problématique de maintenir à jour et donc de corriger certains éléments du code dans les projets Open Source. La faille Heartbleed a montré les limites des tests et de la maintenance du code sur la librairie de chiffrement SSL. La vulnérabilité existait depuis au moins deux ans. Les grands acteurs du web se sont mobilisés financièrement et techniquement pour apporter leur soutien et leur aide aux projets Open Source clés.

La faille serait directement liée à la fragmentation d'Android. De nombreuses versions sont actuellement installées sur les appareils des usagers, ce qui les rend plus risqués. En effet, ils décrivent ainsi l'hypothétique utilisation qui pourrait être faite de la vulnérabilité repérée :

• l'utilisateur installe une application sur une ancienne version d'Android. Celle-ci est malicieuse, et demande des privilèges qui n'existent pas sur la version d'Android installée ;
• une mise à jour d'Android est installée sur l'appareil, dans laquelle sont disponibles les privilèges demandés par l'application en question ;
• l'application malicieuse obtient automatiquement les privilèges, sans que l'utilisateur en soit informés. Ceux-ci sont probablement - si l'intention est de nuire - exorbitants et permettent par exemple d'aspirer des informations, de passer des appels ou des SMS sur des services surtaxés, etc.

Lorsqu’un tel fichier est visualisé sur un site web ou dans un message de courriel, à partir d’un ordinateur qui contient la version 2003, 2007 ou 2010 de la suite d’outils Office et qui utiliser certains systèmes d’exploitation Windows, l’utilisateur peut perdre le contrôle de son système informatique.

Suite à notre article « Espionnage de la NSA : les 8 leçons d’Edward Snowden », dans lequel la présence de backdoor dans des VPN et Firewall Barracuda est mentionnée, cette société nous écrit, estimant que cet article prête à « confusion ». Basé sur le rapport de la société Lexsi, notre article mentionnait la présence de backdoor ou vulnérabilités dans de nombreux produits de marques diverses (Juniper, Cisco, Dell, Huawei…). Dont Barracuda. Sans toutefois affirmer que la NSA aurait eu un rôle quelconque dans l’implantation de ces backdoor. « Nous n’avançons pas le fait que la NSA ait demandé l’implantation de ces portes dérobées », confirme Vincent Hinderer, un des deux auteurs de l’étude de Lexsi joint ce jour au téléphone.

La dangerosité de la faille a rapidement donné lieu sur les réseaux à une déferlante d’articles et de précisions, le hashtag « #Gotofail » devenant le signal de ralliement. Le chercheur indépendant Ashkan Soltani (qui avait notamment aidé à prouver que les liens envoyés sous Skype étaient surveillés de manière proactive) s’est ainsi étonné sur Twitter qu’Apple ne procède pas systématiquement aux tests qui auraient permis de détecter ce type de comportement. Mais dans le guide de sécurité fourni par l’entreprise, il est demandé que les « données invalides ou inattendues » soient autant testées que les données attendues. Pour Adam Langley, de chez Google, il s’agit d’une erreur d’autant plus grave qu’elle est grossière.

Suite à l’émergence du problème qui touche le code de Safari et affecte la vérification d’authenticité des serveurs, avec les risques que cela comporte, Apple vient de mettre en place un site, Gotofail.com, qui vous permet de tester vos appareils Apple à partir du navigateur Safari. Un autre site non officiel permet aussi de faire le test.