Hier soir, comme presque tous les autres sites Internet, nous avons publié un article sur le très grave et dangereux bogue de sécurité OpenSSL, appelé Heartbleed. Le bogue laisse de grandes portions d’Internet ouvertes pour que des pirates malveillants puissent voler des clés de connexion, de carte de crédit et de chiffrement. Essentiellement, les sites qui pensaient protéger les données des utilisateurs en les cryptant ne le faisaient pas, sans faute de leur part, pendant plus de deux ans.
Le risque de dommage est que les données cryptées et les clés cryptographiques permettant de les déverrouiller pourraient avoir
été volé de serveurs. Vos appareils ne sont pas directement affectés. Les logiciels et services que vous utilisez peuvent se connecter à des serveurs susceptibles d'avoir été affectés pour exposer vos données. Le bogue Heartbleed ne laisse aucune trace dans les journaux, il n’ya donc aucun moyen de revenir en arrière et de dire si un site Web a été affecté ou non. Selon de nouvelles informations, plus de 500 000 serveurs ont été touchés.
Un correctif a été publié, mais on demande aux internautes de prendre des précautions et de changer leurs mots de passe ou d’être prêts à le faire. Il y a un non officiel liste des sites affectés et des sites non affectés affichée sur GitHub. Il existe également un vérificateur de site où vous pouvez entrer les informations du site pour vérifier s’il est affecté ou non.
Yahoo, OKCupid, Ars Technica et Tumblr ont demandé aux utilisateurs de prendre des précautions et de changer les mots de passe après avoir appliqué des correctifs à leurs sites. Bien que je n'aie reçu aucun email personnellement de Yahoo.
Que pouvez-vous faire pour éviter Heartbleed?
- Parcourez la liste non officielle des sites que vous pouvez visiter. Ce n’est certainement pas une liste exhaustive.
- Évitez de vous connecter sur les sites affectés jusqu'à ce que tout soit effacé.
- Contactez les entreprises (telles que les banques) que vous utilisez et demandez-leur si elles sont concernées et si vous souhaitez être averti lorsque tout est à nouveau clair.
- Préparez-vous à changer vos identifiants de connexion. Mais n'apportez aucune modification avant la mise à jour d'un site. Vous devez donner la priorité aux comptes de messagerie et aux comptes bancaires et financiers.
- Si vous utilisez le navigateur Chrome, installez Chromebleed Checker. L'extension est exécutée en arrière-plan et une alerte apparaîtra si un site est affecté. GottaBeMobile.com n'est pas affecté.
- Faites attention aux comptes financiers au cours des prochaines semaines pour détecter toute activité inhabituelle.
Comme toujours, prenez toutes les précautions que vous jugez nécessaires. Ces types d’histoires se développent généralement sur une période donnée et nous publierons les mises à jour au fur et à mesure. Il y a de bonnes lectures sur le bogue Heartbleed, OpenSSL et plus encore ici et ici.