Si vous passez beaucoup de temps sur le web et les réseaux sociaux, vous avez surement du entendre parler d’Heartbleed, une faille de sécurité affectant plusieurs sites et services web (Google, Twitter, Facebook, Dropbox, et j’en passe…) que vous avez l’habitude d’utiliser.
Et si vous êtes de ceux qui aiment aller dans le fond des choses (ou que vous êtes tout simplement mort de peur à l’idée de voir votre compte facebook ou votre adresse email piratée ), vous avez essayé de savoir qu’est ce qu’Heartbleed . Pour ce faire, vous avez interrogé le le techie/geek/nerd de service dans votre entourage, qui vous a probablement donné une réponse similaire à celle ci dessous :
“Alors, pour faire simple, Heartbleed est un buffer overflow qui exploite une erreur d’implémentation d’une requête hearbeat ainsi que la fonctionnalité de connexion persistante (keep alive) afin de bypasser l’étape de la renégociation et, ce faisant obtenir plus de données que prévues . Ainsi l’attaquant peut, en utilisant le bon script et en spoofant la taille du paquet/requête récupérer plusieurs types de tes données d’authentification (i.e. des mots de passes et des noms d’utilisateurs) ainsi que tes numéros de cartes bancaires, etc.”
Que vous avez compris ainsi :
“Alors pour faire simple (parce que oui, simple mortel, tu n’est pas assez intelligent pour comprendre . Je suis ton démiurge.) bla bla jargon technique bla bla jargon technique bla bla langage de nerd…bref, tu ne comprendras rien de ce que je vais dire, mais tes mots de passe et tes infos personnelles vont méchamment déguster. ”
Oui, malheureusement, bon nombre de ces passionnés des nouvelles technologiques ont beaucoup d’effort à faire en ce qui concerne la vulgarisation de certains concepts.
Et oui, je le reconnais, j’ai, parfois, le même défaut, contrairement au cartooniste XKCD qui a lui une explication très simple de ce qu’est HeartBleed.
Et , bonus pour ceux qui n’aiment pas la langue de Shakespeare – mais de vous à moi, vous pourriez faire un petit effort – , une modeste traduction est disponible en légende.
Vignette 1
Meg : “Serveur est tu toujours en ligne ? si oui, réponds “Potato” (6 lettres)”
Serveur : “l’utilisateur Meg veut les 6 lettres POTATO”
Vignette 2
Meg : “Serveur est tu toujours en ligne ? si oui, réponds “bird” (4 lettres)”
Serveur : “l’utilisateur Meg veut les 6 lettres BIRD”
Vignette 3
Meg : “ HMMM”
Vignette 4
Meg : “Serveur est tu toujours en ligne ? si oui, réponds “hat” (500 lettres)”
Vignette 5
Serveur : “l’utilisateur Meg veut les 500 lettres HAT . Lucas veut accéder à la page “missed connections”. Eve (administrateur) veut mettre la valeur de la master key du serveur à 148 (insérer ici infos clés , telles mots de passe, etc…”)
Voilà, maintenant que vous comprenez l’étendue des dégâts, je vous recommande vivement d’installer l’extension LastPass et de voir quels sont les sites ou les services web où vous devriez changer votre mot de passe.
Jean Luc Houedanou
