La faille Heartbleed fait encore parler d'elle. Cette vulnérabilité dans l'implémentation open source d'OpenSSL dans le protocole de chiffrement SSL/TLS avait, début avril, provoqué une véritable levée de boucliers, chacun s'empressant de se mettre à jour afin d'éviter les fuites de données (lire : Heartbleed : attention à cette méchante faille OpenSSL). Apple n'y avait pas échappé : même si la Pomme avait assuré que la faille ne touchait pas ses produits et services, il avait tout de même fallu mettre à jour les bornes AirPort Extreme et Time Capsule.
Du côté de Google et d'Android, la faille restait problématique. Le moteur de recherche avait annoncé qu'Android 4.1.1, qui équipe encore 50 millions de terminaux mobiles Android dans le monde, pouvait être victime de la vulnérabilité (lire : Des millions d'appareils Android toujours vulnérables à Heartbleed).
Avec Android 4.4.4, la toute dernière version de son système d'exploitation, Google ferme définitivement la porte à Heartbleed. Mais comme toujours avec les appareils Android, le déploiement du logiciel reste problématique puisque cette mise à niveau ne concerne actuellement que les Nexus 4, 5, 7 et 10 — il faudra attendre que le moteur de recherche livre les sources AOSP, puis que les constructeurs et les opérateurs proposent cette nouvelle version à leurs clients. Cela devrait néanmoins aller assez vite étant donné l'importance de la mise à jour.
Plus globalement, deux mois après la découverte d'Heartbleed, la faille continue de sévir. Le chercheur en sécurité Robert David Graham a ainsi compté qu'au moins 309 197 serveurs web restaient exposés à la vulnérabilité. Début avril, ils étaient plus de 600 000; un mois plus tard, ce chiffre était tombé à 318 239. Entre mai et juin, les efforts de sécurité n'ont concerné qu'un peu plus de 9 000 serveurs. Et cela ne risque pas de s'accélérer : Heartbleed, qui est désormais bien documenté, pourra encore frapper dans les mois, voire les années qui viennent.
