Publicité

La vulnérabilité SSL Heartbleed fait la une des journaux du monde entier - et les fausses déclarations dans la presse et en ligne sont source de confusion. Comment pouvez-vous rester en sécurité et garantir que vos informations personnelles ne sont pas divulguées?

Qu'est-ce que Heartbleed? Ce n'est pas un virus

Vous avez probablement entendu Heartbleed décrit comme un virus. Ce n'est pas le cas: en fait, c'est une faiblesse, une vulnérabilité des serveurs exécutant OpenSSL. Il s'agit de l'implémentation open source de SSL et TLS, les protocoles utilisés pour les connexions sécurisées - ceux qui commencent https: // plutôt que d'habitude http: //.

muo-heartbleed-help-https

Cette vulnérabilité - plus communément appelée bogue - crée essentiellement un trou à travers lequel les pirates peuvent contourner le chiffrement. Confirmé le 7 avrile 2014, il se produit dans toutes les versions d'OpenSSL sauf 1.0.1g. La menace est limitée aux sites exécutant OpenSSL - d'autres bibliothèques SSL et TLS sont disponibles, mais OpenSSL est largement utilisé sur les serveurs du Web. Il existe un correctif pour le problème, mais cela n'a peut-être pas été appliqué aux sites Web que vous visitez régulièrement pour des activités sécurisées. Il peut s'agir d'achats en ligne, de jeux de hasard et d'autres sites Web à thème pour adultes ou même de réseaux sociaux.

instagram viewer

Par conséquent, toutes sortes d'informations personnelles et financières pourraient être menacées.

Pour avoir une idée de l'ampleur de Heartbleed (et pourquoi on l'appelle ainsi), Ryan a récemment mis en contexte ce bogue sur Internet Un bogue massif dans OpenSSL met en danger une grande partie d'InternetSi vous faites partie de ces personnes qui ont toujours cru que la cryptographie open source est le moyen le plus sûr de communiquer en ligne, vous êtes un peu surpris. Lire la suite . Nous devons souligner que Heartbleed est une vulnérabilité basée sur Internet et affecte donc les utilisateurs de tous les systèmes d'exploitation, de bureau et mobiles.

C'est donc un gros problème - mais que pouvez-vous faire à ce sujet?

Ignorez le battage médiatique et ne paniquez pas

Eh bien, il y a une chose que vous ne devriez pas faire: la panique. Beaucoup de choses ont été écrites sur Internet et dans les médias imprimés au cours des derniers jours et beaucoup battage médiatique, doom porn qui mettrait les effets de la célèbre émission de radio War of the Worlds d'Orson Welles à la honte.

muo-heartbleed-help-dontpanic

Une grande partie de ce que vous avez déjà vu sera issue de communiqués de presse et d’autres des rapports de journalistes peu familiers avec la terminologie et un manque de compréhension claire des risques.

Par exemple, vous savez peut-être que vous devez changer vos mots de passe immédiatement (pas entièrement vrai, nous devons ajouter - voir ci-dessous). Mais connaissiez-vous le risque de phishing?

Le risque de phishing

Les services Web responsables, les banques et les réseaux sociaux qui ont été touchés par Heartbleed vous déposeront un e-mail pour vous informer qu'ils ont réparé la vulnérabilité et vous recommander de modifier votre mot de passe.

Naturellement, vous devriez le faire - mais sachez que cette situation présente une opportunité idéale pour les hameçonneurs de commencer à envoyer faux e-mails, avec des liens intégrés vers la page «changer le mot de passe» - en réalité, un site Web conçu pour récolter votre détails.

muo-heartbleed-help-pinterest

Aucun des services que vous utilisez ne devrait vous recommander de cliquer sur un lien de changement de mot de passe dans un e-mail envoyé par e-mail non sollicité. Malheureusement, IFTTT, tout comme Pinterest (ci-dessus). C'est une mauvaise pratique et donne l'impression qu'un tel lien est acceptable et doit être cliqué.

Sauf si vous avez demandé l'e-mail, un tel lien ne doit pas être cliqué.

Les e-mails de réinitialisation de mot de passe Heartbleed ne doivent pas inclure de liens de connexion. S'ils le font, supprimez-les, puis visitez le site Web en tapant l'adresse dans votre navigateur (ou en le sélectionnant dans l'historique ou les favoris selon la façon dont vous roulez avec ces choses). De là, réinitialisez votre mot de passe…

… Mais seulement si vous en avez réellement besoin à ce stade.

Malheureusement, la nécessité pour les entreprises de donner l'impression de faire quelque chose contre les menaces comme Heartbleed peut s'avérer tout aussi dommageable que la menace elle-même.

Alors, devez-vous changer vos mots de passe?

L'un des principaux conseils de Heartbleed en circulation est que vous devez changer vos mots de passe immédiatement.

Tous.

C'est malheureusement un exemple de la désinformation à laquelle j'ai fait référence dans l'intro. Supposons que vous utilisez le même mot de passe pour plusieurs sites Web. Tout d'abord, c'est une mauvaise pratique et vous devriez reconsidérer le faire à l'avenir (sans parler de créer des mots de passe plus sécurisés Mots de passe sécurisés: générez un mot de passe différent pour chaque site Web Lire la suite ).

mot de passe d'aide muo-heartbleed

Deuxièmement, si vous changez tous vos mots de passe sans discrimination, il est probable que vous le fassiez sur un site Web qui ne fonctionne pas sur un serveur corrigé - sur lequel Heartbleed est toujours un vulnérabilité.

Par inadvertance, vous avez potentiellement partagé votre ancien mot de passe et votre nouveau mot de passe avec ceux qui sont capables d'exploiter la vulnérabilité pour leurs opérations de fraude d'identité et de spam.

En tant que tel, vous ne devez modifier votre mot de passe site par site que lorsque vous savez qu'il a été corrigé - c'est-à-dire que le correctif a été appliqué et que la vulnérabilité a été corrigée.

Vérifiez quels sites Web ont été corrigés

Commencez par vérifier quels sites Web sont exempts de la vulnérabilité Heartbleed.

Il y a deux façons de faire ça. Tout d'abord, dirigez-vous vers Mashable où un une liste à jour des grands sites Web touchés par Heartbleed peut être trouvée, ainsi que des conseils sur la modification ou non de votre mot de passe.

Pour les petits sites Web, cet excellent outil de recherche vous indiquera instantanément si le site a été corrigé ou non.

Une alternative est la Chromebleed Checker extension pour Google Chrome.

Si les sites Web que vous utilisez ont été affectés et n'ont pas encore corrigé la vulnérabilité Heartbleed, évitez de vous connecter jusqu'à ce que la situation soit résolue.

Conclusion: c'est un jeu d'attente

Faire face à la tempête Heartbleed ne devrait pas être un problème pour la plupart. Respectez le cours que nous vous avons conseillé ci-dessus et ne modifiez aucun mot de passe tant que les sites Web et services correspondants ne vous y ont pas invité.

muo-heartbleed-help-heart

Vous pouvez également utiliser de nouveaux outils pour vérifier si le site Web que vous prévoyez de visiter (ou même celui que vous exécutez) a été affecté et si un correctif a été appliqué.

Plus important encore, restez en sécurité et soyez patient. Heartbleed peut toujours causer d'énormes problèmes - évitez les sites Web qui nécessitent des correctifs jusqu'à ce que vous sachiez qu'ils sont désormais sécurisés.

Crédits image: Bullet Heart via Shutterstock, HTTPS via Shutterstock, Ne paniquez pas via Shutterstock, Mot de passe via Shutterstock

Christian Cawley est rédacteur en chef adjoint pour la sécurité, Linux, le bricolage, la programmation et la technologie expliquée. Il produit également le podcast vraiment utile et possède une vaste expérience en matière de support de bureau et de logiciels. Contributeur au magazine Linux Format, Christian est un bricoleur de Raspberry Pi, un amoureux des Lego et un fan de jeux rétro.