Heartbleed – Que pouvez-vous faire pour rester en sécurité ?
La vulnérabilité Heartbleed SSL fait la une des journaux dans le monde entier – et les informations erronées dans les médias et en ligne sèment la confusion. Comment restez-vous en sécurité et assurez-vous que vos informations personnelles ne sont pas divulguées ?
Qu’est-ce que le sang cardiaque ?Ben ce n’est pas un virus
Vous avez peut-être entendu Heartbleed décrit comme un virus. Ce n’est pas le cas : en fait, c’est une faiblesse, une vulnérabilité du serveur exécutant OpenSSL.Il s’agit d’une implémentation open source de SSL et TLS, protocoles de connexions sécurisées – ceux qui ont commencé https:// au lieu de l’habituel http://.
La faille – souvent appelée bogue – crée essentiellement une échappatoire à travers laquelle les pirates peuvent contourner le cryptage. Confirmé le 7 avril 2014, il apparaît dans toutes les versions d’OpenSSL sauf 1.0.1g. La menace est limitée aux sites exécutant OpenSSL – d’autres bibliothèques SSL et TLS sont disponibles, mais OpenSSL est largement utilisé sur les serveurs Web. Il existe un correctif pour ce problème, mais cela peut ne pas s’appliquer aux sites Web que vous visitez fréquemment pour des activités de sécurité. Il peut s’agir d’achats en ligne, de jeux d’argent et d’autres sites pour adultes, ou même de réseaux sociaux.
Par conséquent, toutes les formes d’informations personnelles et financières peuvent être à risque.
Pour voir à quel point Heartbleed est significatif (et pourquoi il s’appelle ainsi), Ryan a récemment mis ce bogue couvrant Internet en contexte. Nous devons souligner que Heartbleed est une vulnérabilité basée sur Internet et affecte donc les utilisateurs de tous les systèmes d’exploitation, ordinateurs de bureau et appareils mobiles.
Donc, c’est un gros problème – mais que pouvez-vous faire à ce sujet ?
Ignorez le battage médiatique et ne paniquez pas
Eh bien, il y a une chose que vous ne devriez pas faire : paniquer. Beaucoup de choses ont été écrites sur Internet et dans la presse écrite au cours des derniers jours, dont une grande partie était de la pornographie catastrophique qui éclipserait l’efficacité de la célèbre émission de radio War of the Worlds d’Orson Welles.
Faire une vidéo du jour
Une grande partie de ce que vous avez vu a été bricolée à partir de communiqués de presse et d’autres reportages de journalistes peu familiers avec la terminologie et n’ayant pas une compréhension claire du risque.
Par exemple, vous savez probablement que vous devez changer votre mot de passe immédiatement (pas exactement, devrions-nous ajouter – voir ci-dessous). Mais connaissez-vous les risques de phishing ?
Risque d’hameçonnage
Les services Web, les banques et les réseaux sociaux responsables concernés par Heartbleed vous enverront un e-mail vous informant qu’ils ont corrigé la vulnérabilité et vous recommandant de changer votre mot de passe.
Bien sûr, vous devriez – mais sachez que cette situation offre une opportunité idéale pour les hameçonneurs de commencer à envoyer de faux e-mails avec des liens intégrés vers des pages « changer de mot de passe » – en fait, il s’agit d’un site Web qui collecte vos informations.
Tout service que vous utilisez ne vous recommande pas de cliquer sur un lien de changement de mot de passe dans un e-mail non sollicité. Malheureusement, IFTTT est le même que Pinterest (ci-dessus). Ceci est une mauvaise pratique et donne l’impression que de tels liens sont acceptables et doivent être cliqués.
Ces liens ne doivent pas être cliqués à moins que vous n’ayez demandé un e-mail.
Les e-mails de réinitialisation de mot de passe Heartbleed ne doivent pas contenir de lien de connexion. S’il y en a, supprimez-les et visitez le site en entrant l’adresse dans votre navigateur (ou sélectionnez-la dans l’historique ou les favoris selon la façon dont vous utilisez ces éléments). A partir de là, réinitialisez votre mot de passe…
… mais seulement si vous en avez vraiment besoin à ce stade.
Malheureusement, les entreprises axées sur les relations publiques doivent donner l’impression qu’elles prennent des mesures contre une menace comme Heartbleed, qui peut être aussi dommageable que la menace elle-même.
Alors, devriez-vous changer votre mot de passe ?
L’un des principaux conseils de Heartbleed en circulation est que vous devez changer votre mot de passe immédiatement.
Ils sont tous.
Malheureusement, ceci est un exemple du message d’erreur que j’ai mentionné dans l’introduction. Supposons que vous utilisiez le même mot de passe pour plusieurs sites Web. Tout d’abord, c’est une mauvaise pratique et vous devriez reconsidérer le fait plus tard (sans parler de la création de mots de passe plus sécurisés).
Deuxièmement, si vous modifiez tous vos mots de passe sans discernement, vous les modifierez probablement sur un site Web qui ne fonctionne pas sur un serveur corrigé – où Heartbleed est toujours une vulnérabilité.
Par inadvertance, vous avez peut-être partagé vos anciens et nouveaux mots de passe avec ceux qui pourraient exploiter la vulnérabilité pour des opérations d’usurpation d’identité et de spam.
Par conséquent, vous ne devez modifier votre mot de passe site par site que si vous savez que le mot de passe a été corrigé, c’est-à-dire que le correctif a été appliqué et que la vulnérabilité a été fermée.
Vérifiez quels sites ont été corrigés
Vérifiez d’abord quels sites sont exempts de vulnérabilités Heartbleed.
Il y a deux façons de faire ça. Tout d’abord, rendez-vous sur Mashable pour trouver une liste à jour des sites bien connus affectés par Heartbleed, ainsi que des conseils pour savoir si vous devez changer votre mot de passe.
Pour les petits sites, cet excellent outil de recherche vous indiquera instantanément si le site a été corrigé.
Une autre option est l’extension Chromebleed Checker pour Google Chrome.
Si vous utilisez un site Web qui a été compromis et que la vulnérabilité Heartbleed n’a pas été corrigée, veuillez vous abstenir de vous connecter jusqu’à ce que la situation soit résolue.
Conclusion : C’est un jeu d’attente
Faire face à une tempête Heartbleed ne devrait pas être un problème pour la plupart des gens. Tenez-vous-en à nos suggestions de leçons ci-dessus et ne modifiez aucun mot de passe tant que le site Web et le service ne vous ont pas demandé de le faire.
Vous pouvez également utiliser le nouvel outil pour vérifier si les sites Web que vous prévoyez de visiter (ou même ceux que vous exécutez) sont affectés et si des correctifs ont été appliqués.
Plus important encore, restez en sécurité et soyez patient. Le potentiel pour Heartbleed de causer des tonnes de problèmes demeure – évitez tous les sites qui ont besoin de correctifs jusqu’à ce que vous sachiez qu’ils sont maintenant en sécurité.
Crédits image : Bullet Heart par Shutterstock, HTTPS par Shutterstock, Don’t Panic Button par Shutterstock, Password par Shutterstock
A propos de l’auteur
