Heartbleed : 57% des sites concernés toujours vulnérables

Un mois après l’annonce de la faille critique Heartbleed, nous pourrions nous attendre à ce que tout soit corrigé et réglé.

Et bien il n’en est rien. Un rapport accablant réalisé par Netcraft vient d’être rendu public, et ce ne sont pas moins de 57% des sites vulnérables à Heartbleed qui n’ont ni réédité ni révoqué leurs certificats SSL.

D’autres (5%) ont réédité des certificats avec la même clé privée et compromise, permettant donc de tromper les serveurs avec une attaque de type « man-in-the-middle » (HDM en français, attaque consistant en l’interception silencieuse et non détectée des communications entre deux entités).

Certains (21%) ont bien quant à eux réédité les certificats mais n’ont pas révoqué les anciens certificats.

Mais la grosse surprise vient sans nul doute des 20% de serveurs qui sont désormais vulnérables à cette faille alors qu’ils ne l’étaient pas il y a un mois ! En effet leurs versions sûres d’OpenSSL semblent avoir été changées par mesure de précaution, sauf qu’elles ont été remplacées par des versions non corrigées !

Au total, il reste plus de 2% des serveurs mondiaux qui tournent encore avec une version vulnérable d’OpenSSL, nombre non négligeable quand on connait le nombre global de serveurs.

Il semble de plus que certaines passerelles très utilisées et connues soient potentiellement toujours affectées.

Quoiqu’il en soit, les experts en sécurité conseillent de ne changer votre mot de passe que sur les plate-formes qui ont corrigé la faille et ont communiqué sur leurs corrections.

En effet, Sur un site touché et non corrigé, votre ancien password est de fait potentiellement compromis, mais si vous le changez vous compromettrez également votre nouvelle entrée !

Source : DailyMail – ScienceTech