Pendant qu’il tentait d’arranger le bug, le site du fisc canadien a été attaqué par des pirates informatiques s’engouffrant dans la brèche de Heartbleed, et qui se sont emparés de 900 numéros d’assurance sociale. L’attaque s’est prolongée pendant six heures. Le Canada Revenue Agency est jusqu’ici la seule organisation gouvernementale qui a dû fermer ses services le temps de rétablir la sécurité, raconte le Financial Times, qui note aussi qu’un site web anglais très populaire, le Mumsnet (le «réseau des mômans»), a aussi été attaqué. Selon la cheffe du site, les profils, les messages personnels, et les mots de passe des utilisateurs ont pu être volés. Peut-être parce que les pirates sont à la recherche de mots de passe qui fonctionnent aussi sur d’autres sites, les internautes utilisant souvent le même…

Cela fait peur. Le petit verrou jaune qui s’affiche par exemple quand nous achetons un billet d’avion et qui est censé garantir le cryptage et la sécurité de nos transactions, ne garantissait plus rien depuis deux ans, a-t-on appris ces derniers jours, depuis la découverte le 21 mars par un chercheur de Google du «cœur saignant» (lire ici le message d’alerte et un indispensable fil des événements, sur le site du Sydney Morning Herald). Rendue publique le 7 avril, il s’agit tout simplement de la plus grosse faille de sécurité informatique de l’histoire du Web, selon le gourou du Web Bruce Schneier: «Sur une échelle de gravité de 1 à 10, Heartbleed arrive 11e». Chaque fois, l’équivalent de 64 ko peut être subtilisé (grosso modo l’équivalent de trois pages d’un document Word). La faille concerne aussi les certificats de sécurité d’un site, sa capacité à faire la preuve qu’il est bien authentique. En d’autres mots, «votre navigateur pourrait penser qu’il est connecté en sécurité sur le site de votre banque alors que les données sont aspirées par un intermédiaire, dans les deux sens», explique le New Yorker. Gasp.

Une bibliothèque gratuite

Une semaine que le bug a été identifié, et on est loin d’avoir fait le tour de ses dégâts. Un nombre grandissant d’Américains disent avoir été piratés, écrit le Time. En janvier, 18% des internautes déclaraient avoir été victimes du vol d’importantes informations personnelles en ligne – la proportion était de 11% en juin 2013. Heartbleed existe depuis mars 2012, introduit malencontreusement par un développeur allemand, Robin Seggelman, qui travaillait sur un autre problème pendant un réveillon de Nouvel An («Difficile de lui en vouloir», se désole Forbes) et qui s’est défendu de toute intention malicieuse. Or le bug est probablement présent sur… deux tiers des serveurs, selon VergeSelon le Businessinsider, «votre site web, votre réseau social, ou même les sites officiels publics peuvent être vulnérables. Sans parler des services de chat et des messageries». «C’est compliqué d’écrire du code d’encryptage, explique le Wall Street Journal, alors les opérateurs web se servent chez Open SSL, qui est gratuit. […] et opéré par quatre principaux développeurs basés en Europe, dont un seul est payé pour travailler à temps plein». Une bibliothèque de chiffrement directement accessible. «Sans aucun doute, avoir plus d’effectifs serait une bonne chose», selon le président de la fondation SSL, toujours cité par le WSJ – en effet… On lira avec intérêt sur son blog son admiration pour ces fous du Web qui travaillent quasi bénévolement sur Open SSL pas pour l’argent, pas pour la gloire, mais pour la fierté du travail bien fait…

Un dévouement dont ont profité gratuitement les compagnies les plus rentables, et qui le paient aujourd’hui. Car Heartbleed affecte les compagnies les plus malignes et fortes sur le Web, note Slate, comme Google, Yahoo!, Facebook, Tumblr, Instagram, Netflix, Wikipédia. N’en jetez plus! D’autant que des soupçons encore plus graves sont venus alourdir encore un climat déjà délétère: selon Bloomberg, qui a cité deux sources proches du dossier, la NSA aurait été au courant de la faille depuis longtemps, et se serait bien gardée d’en faire état, pour au contraire en profiter et fouiller à sa guise dans les données personnelles de millions de sites. Gasp! La NSA a depuis démenti vigoureusement (et ceci avant l’annonce du Prix Pulitzer…), affirmant dans une déclaration officielle qu’elle avait découvert le bug «en même temps que tout le monde», et «qu’elle aurait rendu publique la faille si elle l’avait découverte». Mais le doute est bien là. Bloomberg a depuis refait le point sur ce que savait ou non la NSA – instructif.

Changez vos mots de passe!

Ce qui est certain, c’est que c’est désormais l’heure de gloire pour les services spécialisés dans la gestion des mots de passe, note Mashable, qui cite par exemple le site LastPass, qui a immédiatement flairé l’aubaine et lancé un outil (gratuit, ici) de vérification de sécurité pour les internautes, déjà utilisé 4,5 millions de fois en 10 jours… Autre site de vérification, celui de ICT journal, («construit dans la panique», nous indique-t-il…).

Et nous? En Suisse, le Parti pirate d’Argovie a mené l’enquête: une quarantaine de banques étaient susceptibles d’avoir leur système d’e-banking fragilisé par Heartbleed, encore la semaine dernière, comme l’a rapporté le Blick. Melani, le site de sécurité informatique de la Confédération, a publié une liste de recommandations. En ce début de semaine, une majorité de sites ont pris des mesures. Enfin sur Internet, des listes de sites «patchés» sont régulièrement mises à jour. Mashable remet régulièrement à jour sa liste des sites à contrôler. Tout comme Venturebeat – à chercher sur Twitter, très en pointe sur le sujet. Il ne reste plus ensuite qu’à changer son mot de passe – une fois que le bug est réparé. Instagram, Facebook, Tumblr sont concernés par exemple. GMail ne l’est plus… Slate.fr explore aussi la vulnérabilité de plusieurs sites français.

Vigilance, vigilance! L’affaire Heartbleed «nous fait penser qu’il serait nécessaire de rappeler quelques petites règles fondamentales, à appliquer dès qu’on commence à utiliser des services en ligne», écrit fort à propos le site suisse Ethack, qui se veut une référence en matière de vie privée et de sécurité sur Internet. Trois règles simples – à lire ici.

Les Opinions publiées par Le Temps sont issues de personnalités qui s’expriment en leur nom propre. Elles ne représentent nullement la position du Temps.