Faille Heartbleed : le Canada stoppe les déclarations de revenu en ligne
Décidément, la faille dans l'extension Heartbleed aura fait couler beaucoup d'encre. Dernier rebondissement en date : la publication par trois chercheurs en sécurité de tests prouvant que la vulnérabilité était aisément exploitable. Ces révélations ont été réalisées dans le cadre d'un concours de code d'exploitation lancé par la société CloudFlare à propos de la faille (lire les résultats sur le blog de CloudFlare).
Les tests montrent que la faille, présente dans la librairie de chiffrement OpenSSL livrée avec Heartbleed, peut être utilisée pour obtenir les clés privées d'une transaction SSL/TLS, et ainsi permettre d'avoir accès à l'ensemble du trafic sous-jacent (messages, informations bancaires...).
Dans la foulée, l'Agence du Revenu canadienne, en charge de la collecte des impôts, a indiqué avoir été touchée par la faille. Les pirates auraient eu accès aux données de 900 administrés de l'agence (notamment leur numéro de sécurité sociale). L'agence a même dû clore pour quelques jours l'accès à son service en ligne, en pleine campagne de déclaration de revenu... Les autorités canadiennes ont précisé que tous les sites web gouvernementaux, dont celui de l'Agence du Revenu, avaient été dotés à partir de lundi d'une version mise à jour d'OpenSSL. Le service est depuis revenu à la normal.
A lire aussi :
Akamai : son correctif pour la faille Heartbleed ne fonctionnait pas
Un demi-million de sites web touchés par la faille Heartbleed
Faille Heartbleed : quels sont les géants IT touchés
Heartbleed : Cisco et Juniper touchés de plein fouet
Comment faire face à la faille critique Heartbleed