Faille “Heartbleed” : un forum britannique avec 1,5 million d’utilisateurs, piraté

93fdc680e0493522de493fc804a65959f8009240.jpg
ordinateur avec, en gros plan, une adresse internet (Photo : Lionel Bonaventure)

[14/04/2014 20:08:10] Londres (AFP) Les données de 1,5 million d’usagers du forum Mumsnet, destiné aux mamans britanniques, ont pu être dérobées par des pirates ayant tiré avantage de la faille informatique Heartbleed, a révélé lundi Justine Roberts, la fondatrice du site internet.

“La semaine dernière, nous avons pris connaissance de l’existence de la faille Heartbleed et nous avons immédiatement appliqué un correctif pour palier la vulnérabilité des espaces sécurisés de type OpenSSL”, a-t-elle indiqué dans un communiqué.

“Toutefois, il est apparu que des données d’utilisateurs entrées sur notre page de connexion ont été consultées avant que nous ayions appliqué le correctif”, a-t-elle ajouté.

Les services de Mumsnet ont demandé au 1,5 million d’usagers du site de changer leur mot de passe mais Justine Roberts ignorait combien d’utilisateurs avaient pu avoir leurs données piratées.

“Le pire scénario est qu’on ait eu accès aux données de chaque compte des usagers de Mumsnet”, a-t-elle dit.

“Il est possible que ces informations aient été utilisées pour se connecter au site et avoir accès à l’historique des messages diffusés sur le forum, aux messages personnels et au profil personnel des utilisateurs, même si nous n’avons aucune preuve qu’un compte ait été utilisé pour quoi que ce soit d’autre que de signaler la violation de la sécurité”, a-t-elle expliqué.

Le site offre aux utilisateurs un forum où ils peuvent poser les questions de leur choix sur tout ce qui concerne les enfants.

Lundi, l’administration fiscale canadienne a révélé qu’environ 900 numéros de sécurité sociale –qui servent d’identité pour les démarches administratives– avaient été dérobés de la même manière.

La faille de sécurité sur la protection des données cryptées, appelée “Heartbleed” (“coeur qui saigne” en français) a été découverte la semaine dernière.

“Heartbleed” peut permettre à des pirates de récupérer dans la mémoire des serveurs informatiques des données fournies lors de connexions protégées.

Parmi les informations susceptibles d’être récupérées figurent le code source (instructions pour le microprocesseur), les mots de passe, et les “clés” utilisées pour déverrouiller des données cryptées ou imiter un site.