Heartbleed : la vulnérabilité SSL/TLS la plus sérieuse jamais découverte

Hier, nous vous avons brièvement parlé de Heartbleed, une vulnérabilité récemment découverte dans l’une des implémentations les plus couramment utilisées dans les protocoles SSL et TLS.

Symantec revient sur cette faille, via une infographie, qui présente un danger immédiat pour les serveurs non patchés. La faille permet aux attaquants d’intercepter des communications sécurisées et de voler des informations sensibles telles que des identifiants de connexion, des données personnelles ou des clés de décryptage. Heartbleed affecte un composant de Open SSL (Heartbeat), l’une des implémentations les plus utilisées des protocoles SSL (Secure Sockets Layer) et TLS (Transport Layer Security). Heartbeat est une extension du protocole TLS qui permet à une session TLS de rester active, même si aucune communication réelle n’a lieu pendant un certain temps. Cette fonction vérifie que deux ordinateurs sont toujours connectés et disponibles pour des communications. Pour l’utilisateur, cela lui permet de ne pas avoir à ressaisir ses identifiants pour établir une autre connexion sécurisée si celle d’origine est supprimée.

Heartbleed est sans conteste la vulnérabilité SSL/TLS la plus sérieuse jamais découverte. Etant donné la nature du bug et le fait qu’il affecte l’une des implémentations SSL/TLS les plus utilisées, le risque est aujourd’hui immédiat.