Sécurité

Heartbleed - Que pouvez-vous faire pour rester en sécurité?

La vulnérabilité SSL de Heartbleed fait les gros titres dans le monde entier - et les fausses déclarations dans la presse et en ligne sont source de confusion. Comment rester en sécurité et s'assurer que vos données personnelles ne sont pas divulguées?

Qu'est-ce que Heartbleed? Eh bien, ce n'est pas un virus

Vous avez probablement entendu parler de Heartbleed comme étant un virus. Ce n'est pas le cas: en fait, c'est une faiblesse, une vulnérabilité des serveurs exécutant OpenSSL. Ceci est l’implémentation open source de SSL et TLS, les protocoles utilisés pour les connexions sécurisées - ceux qui commencent https: // plutôt que d'habitude http: //.

Cette vulnérabilité - plus communément appelée un bogue - crée essentiellement un trou par lequel les pirates peuvent contourner le cryptage. Confirmé le 7 avril^th 2014, il se produit dans toutes les versions d'OpenSSL à l'exception de 1.0.1g. La menace est limitée aux sites exécutant OpenSSL - d'autres bibliothèques SSL et TLS sont disponibles, mais OpenSSL est largement utilisé sur les serveurs du Web. Il existe un correctif pour le problème, mais cela n’a peut-être pas été appliqué aux sites Web que vous visitez régulièrement pour des activités sécurisées. Ceux-ci peuvent être des achats en ligne, des jeux d'argent et d'autres sites Web pour adultes ou même des réseaux sociaux..

En conséquence, toutes sortes d'informations personnelles et financières pourraient être menacées.

Pour avoir une idée de l’importance de l’affaire Heartbleed (et pourquoi c’est ce qu’elle est appelée), Ryan a récemment mis en contexte ce bogue englobant Internet. Un bogue massif dans OpenSSL place une grande partie d’Internet en péril À risque Si vous faites partie de ceux qui ont toujours cru que la cryptographie à source ouverte était le moyen le plus sûr de communiquer en ligne, vous êtes un peu surpris. Lire la suite . Soulignons que Heartbleed est une vulnérabilité basée sur Internet et affecte donc les utilisateurs de tous les systèmes d'exploitation, de bureau et mobiles..

Donc, c'est un gros problème - mais que pouvez-vous faire à ce sujet?

Ignorer le battage médiatique et ne pas paniquer

Eh bien, il y a une chose que vous ne devriez pas faire: paniquer. Beaucoup de choses ont été écrites sur Internet et dans la presse écrite au cours des derniers jours, et il s’agit en grande partie de battages médiatiques qui feraient honte à la fameuse émission radiophonique War of the Worlds d’Orson Welles..

Une grande partie de ce que vous avez déjà vu aura été concoctée à partir de communiqués de presse et d'autres reportages de journalistes inconnus de la terminologie et d'un manque de compréhension des risques..

Par exemple, vous pouvez savoir que vous devez changer vos mots de passe immédiatement (pas tout à fait vrai, nous devrions ajouter - voir ci-dessous). Mais connaissez-vous le risque de phishing??

Le risque de phishing

Les services Web responsables, les banques et les réseaux sociaux affectés par Heartbleed vous enverront un courrier électronique pour vous informer qu'ils ont réparé la vulnérabilité et vous recommander de changer votre mot de passe..

Naturellement, vous devriez le faire - mais sachez que cette situation offre une opportunité idéale pour les phishers de commencer à envoyer de faux emails, avec des liens intégrés vers le “changer le mot de passe” page - en réalité, un site Web conçu pour récolter vos détails.

Aucun des services que vous utilisez ne devrait vous recommander de cliquer sur un lien de changement de mot de passe dans un courrier électronique envoyé par courrier électronique non sollicité. Malheureusement, IFTTT l'a fait, tout comme Pinterest (ci-dessus). Ceci est une mauvaise pratique et donne l'impression qu'un tel lien est acceptable et qu'il convient de cliquer dessus..

Sauf si vous avez demandé l'email, un tel lien ne devrait pas être cliqué.

Les e-mails de réinitialisation du mot de passe Heartbleed ne doivent pas inclure de liens de connexion. Si tel est le cas, supprimez-les, puis visitez le site Web en tapant l'adresse dans votre navigateur (ou en la sélectionnant dans l'historique ou dans les favoris en fonction de votre comportement avec ces éléments). A partir de là, réinitialisez votre mot de passe…

… Mais seulement si vous en avez réellement besoin à ce stade.

Malheureusement, le besoin imposé aux entreprises de donner l'impression qu'elles agissent contre des menaces telles que Heartbleed peut s'avérer aussi préjudiciable que la menace elle-même..

Alors, si vous changez vos mots de passe?

L'un des principaux conseils de Heartbleed en circulation est de changer immédiatement vos mots de passe..

Tous.

Ceci, malheureusement, est un exemple de la désinformation dont j'ai parlé dans l'intro. Supposons que vous utilisiez le même mot de passe pour plusieurs sites Web. Tout d’abord, c’est une mauvaise pratique et vous devriez y revenir à l’avenir (sans parler de créer des mots de passe plus sûrs. Mots de passe sécurisés: générer un mot de passe différent pour chaque site Web. Mots de passe sécurisés: générer un mot de passe différent pour chaque site Web.).

Deuxièmement, si vous modifiez tous vos mots de passe sans discernement, il est fort probable que vous le fassiez sur un site Web qui ne fonctionne pas sur un serveur corrigé - un site sur lequel Heartbleed est toujours une vulnérabilité..

Par inadvertance, vous avez potentiellement partagé votre ancien mot de passe et votre nouveau mot de passe avec ceux qui sont en mesure d'exploiter la vulnérabilité pour leurs opérations de fraude d'identité et de spam.

En tant que tel, vous ne devez changer votre mot de passe que site par site lorsque vous savez qu'ils ont été corrigés. En d'autres termes, le correctif a été appliqué et la vulnérabilité corrigée..

Vérifier quels sites Web ont été corrigés

Commencez par vérifier quels sites Web sont exempts de la vulnérabilité Heartbleed.

Il y a deux façons de faire ça. Tout d’abord, rendez-vous à Mashable où vous trouverez une liste actualisée des sites Web de grands noms concernés par Heartbleed, ainsi que des conseils sur la question de savoir si vous devez changer votre mot de passe ou non..

Pour les plus petits sites Web, cet excellent outil de recherche vous dira instantanément si le site a été corrigé ou non..

Une alternative est l'extension Chromebleed Checker pour Google Chrome.

Si les sites Web que vous utilisez ont été affectés et n'ont pas encore corrigé la vulnérabilité de Heartbleed, évitez de vous connecter jusqu'à ce que la situation soit résolue..

Conclusion: c'est un jeu d'attente

Faire face à la tempête Heartbleed ne devrait pas être un problème pour la plupart. Respectez le cours que nous avons conseillé ci-dessus et ne modifiez aucun mot de passe avant que les sites Web et les services correspondants ne vous le demandent..

Vous pouvez également utiliser de nouveaux outils pour vérifier si le site Web que vous envisagez de visiter (ou même celui que vous exploitez) a été affecté et si un correctif a été appliqué..

Plus important encore, restez en sécurité et soyez patient. Le risque que Heartbleed cause de gros problèmes existe toujours - évitez les sites Web nécessitant des correctifs jusqu'à ce que vous sachiez qu'ils sont maintenant sécurisés..

Crédits d'image: Bullet Heart via Shutterstock, HTTPS via Shutterstock, Bouton anti-panique via Shutterstock, Mot de passe via Shutterstock

En savoir plus sur: Sécurité en ligne, Mot de passe, SSL.

« Entendre, c'est croire les meilleurs livres audio racontés par des auteurs Heartbleed n'est pas seulement un problème de bureau - votre Android pourrait être un risque »