Selon l'entreprise de sécurité californienne Sucuri Security, les 1000 sites en tête de l'Internet au niveau mondial ont été patchés pour protéger leurs serveurs contre la vulnérabilité Heartbleed. Mais à la fin de la semaine dernière, encore 2 % sur le premier million restaient vulnérables. Jeudi, l'entreprise de sécurité basée à Menifee a scanné le premier million de sites classés par Alexa Internet, une filiale d'Amazon qui recueille des données sur le trafic web. « Sur les 1000 sites classés en tête par Alexa, tous étaient protégés ou avaient été corrigés avec les dernières bibliothèques OpenSSL », a confirmé dimanche par courriel le CTO de Sucuri, Daniel Cid.

Une faille qui affecte OpenSSL

Heartbleed est le nom donné à la faille découverte dans la bibliothèque Open Source OpenSSL début avril par un ingénieur en sécurité de Google, Neel Mehta, et par des chercheurs de l'entreprise de sécurité Codenomicon. Cette bibliothèque est à la base des chiffrements SSL (Secure Sockets Layer) ou TLS (Transport Security Layer) qui servent à sécuriser les échanges sur Internet. Cette vulnérabilité, affecte le protocole OpenSSL depuis fin 2011. Un très grand nombre de sites web utilisent OpenSSL et beaucoup comptent sur le protocole pour chiffrer le trafic entre leurs serveurs et les clients. Du fait de la nature très furtive de cette faille, les experts en sécurité ont estimé que des cybercriminels ont pu voler, ou pourraient subtiliser des identifiants, des mots de passe et même les clés de chiffrement utilisées par les serveurs des sites.

Le 7 avril, le projet OpenSSL a livré un correctif pour patcher ce bug, et nombre de services informatiques se sont précipités pour corriger le logiciel sur les serveurs et dans certains systèmes d'exploitation client. « Le 17 avril, une grande majorité des serveurs exposés avait été corrigés », avait déclaré Sucuri Security dans un billet de blog ce jour-là. Mais, si la totalité des 1000 premiers sites classés par Alexa étaient à l'abri, Sucuri a trouvé de plus en plus de sites exposés au fur et à mesure qu'elle élargissait son balayage. Ainsi sur les 10 000 premiers sites, 0,53 % étaient vulnérables, sur les 100 000 premiers, le taux passe à 1,5 %, et sur le premier million, Sucuri arrive à 2 % de sites vulnérables.

Mise à jour des certificats SSL et clefs de chiffrement

D'autres entreprises de sécurité ayant effectué des scans arrivent aux mêmes résultats. Vendredi, Websense, une entreprise basée à San Diego, a déclaré que 1,6 % des 50 000 meilleurs sites classés par Alexa étaient encore vulnérables à la faille Heartbleed. Les experts en sécurité estiment que, dans la mesure où les clés de chiffrement de certains sites ont probablement été compromises, les propriétaires de sites web doivent impérativement renouveler leurs certificats SSL et leurs clefs de chiffrement, et ils conseillent aux internautes de se méfier des sites qui ne sont pas à jour.

 « Sucuri n'a pas vérifié si les certificats des sites étaient à jour », a déclaré son CTO. Mais l'entreprise procèdera sans doute à un autre scan au cours de la semaine. « Je crains que, sur la mise à jour des certificats, les résultats soient beaucoup moins bons », a déclaré David Cid. On trouve sur le web plusieurs outils permettant de détecter les sites vulnérables à la faille Heartbleed, comme celui que fournit l'entreprise de sécurité Qualys. Selon l'outil de Qualys, lundi, un site de vente de vêtements en ligne classé au 49 000 rang par Alexa, était toujours vulnérable.