Présentée comme une faille majeure dans le protocole de sécurisation Open SSL, Heartbleed a fait couler beaucoup d'encre le mois dernier, mais pas suffisamment pour faire prendre conscience aux utilisateurs de la nécessité de prendre leurs précautions.
Si la plupart des grandes entreprises et sites Internet ont pris les mesures nécessaires pour colmater la faille qui touchait les protocoles de sécurisation des données, les smartphones seraient cette fois menacés à cause de leur connectivité WiFi. Baptisée Cupid, la menace est présente sur les réseaux qui utilisent l'authentification EAP ... qui reposer sur OpenSSL ( EAP-TLS)
La nouvelle faille est un dérivé direct de Heartbleed et se veut d'ailleurs aussi néfaste. C'est Luis Gengeia, un chercheur en sécurité portugais de la société SysValue qui a mis en avant sa trouvaille.
Cupid permet ainsi de récupérer des données provenant de routeurs, mais aussi d'utiliser un routeur infecté pour aller piocher des informations sur les appareils Android connectés. Attention toutefois à la panique, seul Android Jeally Bean 4.1.1 semble concerné pour l'instant.
Grâce à la faille, un utilisateur averti peut utiliser Heartbleed pour obtenir une clé privée auprès du routeur ou du serveur d'authentification, contournant automatiquement les mesures de sécurité. Il peut alors accéder au réseau sans aucune limite ni crainte d'être bloqué à quelconque niveau.
Luis Gengeia indique toutefois que la découverte de la faille n'en est qu'au stade de concept, et qu'il n'a pas pu tester suffisamment ce dernier pour établir quelle quantité de routeurs peut être concernée. Reste que seuls les périphériques connectés au routeur corrompu peuvent être ciblés, ce qui limite l'étendue de la faille, du moins, géographiquement parlant.
Reste désormais à savoir si l'on doit s'attendre à des révélations prochaines concernant l'exploitation de ces failles.
