Heartbleed : un coup dur pour les cybercriminels
La vulnérabilité affectant OpenSSL ne concerne pas que les services en ligne légitimes. Elle touche aussi les cybercriminels et pourrait être exploitée contre eux.
La vulnérabilité Heartbleed affectant la librairie de chiffrement OpenSSL pourrait être utilisée pour porter rapidement un coup sévère à la cybercriminalité. C’est en tout cas l’idée de Steven K, un chercheur français qui a récemment indiqué à la BBC que « le potentiel de cette vulnérabilité affectant les services black-hat [utilisés par les cybercriminels] est tout simplement énorme ». Utilisé tant à des fins légitimes qu’à d’autres, moins avouables, le réseau Tor en a déjà été victime avec une perte, mi-avril, de plus de 10 % de ses capacités en sortie. Mais certains noeuds du réseau continuent de fonctionner avec des versions vulnérables d’OpenSSL, ouvrant la voie à la compromission de Tor.
Pour Steven K, Heartbleed va bien plus loin, plaçant les forums en ligne utilisés par les pirates dans une « position critique », rendant les données qu’ils recèlent vulnérables à d’éventuelles infiltrations. Et le chercheur d’évoquer notamment le forum Darkode, « qui a été vulnérable », soulignant qu’il s’agit d’une cible difficile : « peu de personnes ont la capacité de surveiller ce forum, mais Heartbleed a tout exposé. »