C’est Neel Mehta, un expert de la sécurité de Google, qui a découvert le pot aux roses : le logiciel OpenSSL est victime d’une énorme faille de sécurité, qui toucherait au moins la moitié des sites web. Heartbleed, la faille en question, permet dès lors à n’importe quel hacker de récupérer les informations personnelles des utilisateurs.

OpenSSL est un ensemble d’outils qui permettent de chiffrer les données transitant par un site web. En clair, OpenSSL gère les clés de chiffrement des utilisateurs, mais également les certificats. La faille découverte et baptisée Heartbleed (littéralement "cœur qui saigne") permet à un hacker de récupérer ces clés de chiffrement, et donc d’accéder aux informations personnelles des utilisateurs ou du site.

Il lui serait également possible de créer très facilement un faux site et de se faire passer pour l’original. Bref, les pires scénarios sont imaginables, d’autant que quelques-uns des géants du web ont visiblement été touchés. C’est le cas notamment de Yahoo! ou d’Imgur, ou même du site du FBI. La plate-forme de microblog Tumblr, qui appartient à Yahoo! a aussi été concernée, mais a été patchée. Le site encourage néanmoins ses utilisateurs à changer leur mot de passe.

Un outil en ligne propose de vérifier la sûreté d’un site. Il suffit de se rendre sur http://filippo.io/Heartbleed et d’entrer l’URL d’un site pour en valider l’intégrité (ou non). La faille touche les versions 1.0.1 et 1.0.2beta de OpenSSL, ce qui inclut également les éditions 1.0.1f et 1.0.2-beta1.

Si la faille, une fois découverte, a été immédiatement corrigée dans OpenSSL, il y a plus inquiétant : elle date de deux ans. Des hackers l’ont peut-être découverte avant le chercheur de Google, et ils ont eu tout loisir de la mettre à profit. Si votre site est concerné par cette faille, contactez immédiatement votre hébergeur, afin qu’il mette à jour OpenSSL sur ses serveurs.