Heartbleed, la faille d’openSSL

Une faille du protocole OpenSSL présent dans Android a été récemment découverte. Elle permet de subtiliser des informations envoyées à travers Internet dès que le protocole est utilisé. C’est par exemple le cas des connexions HTTPS aux webmails ou aux sites bancaires. Si la faille a fait pas mal paniquer, nous vous proposons quelques solutions pour garder la tête froide.

Heartbleed-fix

Heartbleed, c’est quoi ?

La faille qui touche le protocole OpenSSL nommée CVE-2014-0160 serait présente depuis environ 2 ans. Des chercheurs viennent de découvrir ce bug qui permet à des personnes mal intentionnées de subtiliser les données personnels des connexions utilisant OpenSSL et donc les protocoles SSL et TLS. C’est notamment le cas du HTTPS qui permet de se connecter aux sites sensibles comme les réseaux sociaux, les webmails ou encore les sites bancaires. Mais d’autres utilisations sont faites du OpenSSL comme les applications de client mail ou encore les serveurs hébergeant les sites web. Dans ce dernier cas, ce sont surtout les professionnels qui sont touchés lors de la transmission des données entres les serveurs Web. OpenSSL est implanté dans certaines distributions de Linux ainsi que sur Mac OS.

 

Android est-il touché ?

Android étant basé sur Linux, il est potentiellement vulnérable à cette faille. Et la version d’OpenSSL actuellement disponible sur Android, la 1.0.1f, est vulnérable. La faille touche toutes les versions d’OpenSSL de la 1.0.1 à la 1.0.1f. La version 1.0.1g sortie le 7 avril a permis de supprimer le bug. Mais pour être déployée sur Android, il faudra une mise à jour de la ROM du téléphone. Il ne reste plus qu’à espérer que les constructeurs jouent le jeu mais on peut craindre que certains téléphones anciens ne soient pas mis à jour et restent alors vulnérables.

openssl-checker-4-3-s-307x512

Comment se prémunir de la faille ?

Si votre terminal, votre ordinateur et même le serveur se lequel vous vous connectez dispose de l’ancienne version d’OpenSSL, il y a un risque. Dans le cas de votre androphone, certains, dont des éditeurs d’antivirus, ont créé des applications dédiées pour vérifier la version d’OpenSSL sur votre terminal. C’est le cas par exemple de Heartbleed Detector. Toutefois, si votre terminal est dans la faille, tout dépendra de la promptitude des constructeurs ou opérateurs à délivrer un correctif.

En ce qui concerne les sites internet et leurs serveurs, il est possible de les checker avant de vous connecter. Une liste des sites vulnérables existe sur Github. Il est d’ailleurs possible de tester les serveurs des sites Internet.

La révélation de Heartbleed aux yeux du monde est une bonne chose car elle permet à tous et à toutes de connaître les risques et d’inciter les différents acteurs à agir en conséquence. La faille a une solution, grâce à sa mise à jour. Si un site sur lequel vous avez l’habitude de vous connecter est concerné par la faille, attendez quelques jours le temps que le site fasse le nécessaire.

Le SDK d’Android pour Objets connectés? Sortie en Mars

Le patron d’Android, Sundar Pichai, a indiqué que Google mettrait à disposition des développeurs d’applications son kit de développement d’ici deux semaines.

Avec Glass, Google a déjà commencé à explorer l’univers des objets connectés, mais à une échelle encore réduite. Au travers d’Android, et le développement d’un écosystème pour ces terminaux, la firme vise cette fois un marché de masse.

D’ici deux semaines, Google avancera donc son pion majeur, son OS mobile. A l’occasion de la conférence South by Southwest, le patron d’Android, Sundar Pichai, a fait savoir que le premier SDK (kit de développement logiciel)sortirait dans deux semaines.

Il permettra donc aux développeurs de créer des applications Android destinées à fonctionner sur des objets connectés. « Cela donnera aux développeurs notre vision de comment nous voyons le marché opérer » déclare Sundar Pichai.

L’ambition est donc de développer Android au-delà des smartphones et tablettes pour l’amener vers un monde du multi-écran, ajoute-t-il. Et Google, après les lunettes, devrait s’attaquer au marché des montres connectées, en partenariat avec LG.

Sécurité des apps non téléchargées depuis Google Play Store

Il existe deux moyens de télécharger des applications:

  • Google Play Store
  • Liens fournissant directement les .apk

Malheureusement, pour la deuxième option, l’application n’est soumise à aucun contrôle et peut donc nuire fortement aux utilisateurs. C’est pourquoi, lors d’une conférence RSA (conférence portant sur la sécurité de l’information), Google a annoncé qu’il comptait étendre son outil Verify Apps aux applications tierces. Et ce, même après que les utilisateurs les aient installées.

Selon l’ingénieur en charge de la sécurité Adrian Ludwig, sur scène à la conférence RSA, Google va scanner les applications téléchargées de toutes les sources si l’option est cochée dans Android. Jusqu’à maintenant, il n’y avait qu’une vérification, mais désormais Verify Apps saura prévenir l’utilisateur après coup, même si l’app malicieuse avait passé le premier scan.

Le choix final de suppression de l’application restera celui de l’utilisateur. La seule chose que fera Android, c’est lui fournir une notification. Selon Adrian Ludwig, la fonctionnalité devrait être disponible dans les prochaines semaines. On n’en sait pas plus sur les versions d’Android qui seront concernées.