Alerte de sécurité Heartbleed / Conseils.

1. Informations et rappel des faits.

 

Le 8 avril 2014 une faille de sécurité appelée Heartbleed a été découverte sur les protocoles SSL/TLS du logiciel OpenSSL. Les protocoles SSL/TLS permettent de crypter différentes données comme vos données bancaires, vos mots de passes etc…

La faille a vite été identifiée et une mise à jour a été créée pour contrer Heartbleed. Malheureusement comme la faille a existée; il n’est pas impossible que certains sites populaires aient été piratés et que donc des personnes malveillantes soient déjà en possession de vos mots de passes ou autres.

Le site Mashable fournit une liste non exhaustive des principaux sites web affectés par la faille Heartbleed. Dessus on peut y voir que ces sites web auraient appliqué une mise à jour de sécurité:

  • Facebook
  • Tumblr
  • Google et Gmail
  • Yahoo et Yahoo! Mail
  • Amazon Web Services
  • Dropbox
  • LastPass
  • Soundcloud
  • Wunderlist
  • Minecraft
  • Instagram
  • Pinterest
  • GoDaddy
  • Box
  • Netflix
  • Youtube
  • WordPress

    •  

    Les sites web ci-dessous auraient communiqué ne pas avoir été impactés:

  • Apple
  • Groupon
  • Paypal
  • Twitter
  • eBay
  • Evernote
  • Microsoft
  • Hotmail / Outlook

    •  

    Malheureusement OpenSSL étant très utilisé on peut-être certain que d’autres sites ont subis le même problème. Votre site de jeu pourquoi n’aurait-il pas été affecté? par exemple ?

     

    2. Que faire?.

     

    Bien que la faille Heartbleed a été corrigée il n’est pas impossible que quelqu’un se soit déjà introduit dans le système bien avant. Il serait donc utile et plus sûr de changer votre mot de passe même sur les sites ayant déjà appliqué le patch. Si vous ne le faites pas il est fort probable que rien ne se passe mais pourquoi courir le risque.
    Si vous en avez donc le courage changez vos mots de passe cela ne fait pas de mal.

     

    3. Quid de la sécurité sur le net et autre ?.

     

    Et oui; on découvre que le net n’est pas sécurisé. Malheureusement il ne l’a jamais été; n’importe quel système de cryptage peut être mal programmé voir cassé.
    Il était effectivement plus difficile d’aller voler vos informations dans une dossier à l’administration que sur un site web!

    Par exemple, fin 2012 des hackers sont parvenus à découvrir que la console de Sony la Playstation 3 avait une faille dans son cryptage. La clé de cryptage aléatoire ne l’était pas. Il ne fallu donc pas trop de temps aux hackers pour définitivement hacker la console. Un peu plus tard Sony corrigera cette faille mais c’était déjà trop tard pour les anciennes consoles qui pouvaient continuer à utiliser la faille. Donc si Sony n’a pas réussi à protéger convenablement son gagne pain pourquoi d’autres y arriveraient?

     

    4. Que faire pour éviter les problèmes ?

     

    Le conseil que je vous donnerai est bien simple: évitez un maximum d’utiliser vos données un peu partout sur le web

  • Pour vos payements privilégiez Paypal et de préférence avec une carte de crédit rechargeable sur la quelle vous ne déposé que le montant exact de votre transaction. Cela vous évitera clairement d’avoir un jour un problème potentiel.
  • Quand vous vous inscrivez sur un site si possible utilisez un email qui n’est pas très important.
  • Si possible utilisez un alias et des informations bancales quand c’est possible.
  • Évitez d’utiliser votre mot de passe sur d’autres ordinateurs qui pourraient être vulnérable car, si vous n’en êtes pas l’utilisateur principal comment être sûr que l’ordinateur n’est pas infecté ?
  • Installez un Firewall et un antivirus sur votre ordinateur. (voir ici)
  • Ne cliquez pas sur les emails / offres trop alléchantes. Si ça à l’air trop beau pour être vrai ça l’est sûrement!
    • Print Friendly, PDF & Email