Heartbleed - Que pouvez-vous faire pour rester en sécurité?

Publicité

Publicité
Publicité

La vulnérabilité Heartbleed SSL fait la une des journaux dans le monde entier - et la fausse déclaration dans la presse et en ligne est source de confusion. Comment pouvez-vous rester en sécurité et s'ensuivre vos détails personnels ne sont pas divulgués?

Qu'est-ce que Heartbleed? Eh bien, ce n'est pas un virus

Vous avez probablement entendu Heartbleed décrit comme un virus. Ce n'est pas le cas: en fait, c'est une faiblesse, une vulnérabilité dans les serveurs exécutant OpenSSL. C'est l'implémentation open source de SSL et TLS, les protocoles utilisés pour les connexions sécurisées - ceux qui commencent par https: // plutôt que par l'habituel http: // .

muo-heartbleed-aide-https

Cette vulnérabilité - plus communément appelée un bug - crée essentiellement un trou à travers lequel les pirates peuvent contourner le cryptage. Confirmé le 7 avril 2014, il se produit dans toutes les versions d'OpenSSL sauf 1.0.1g. La menace est limitée aux sites exécutant OpenSSL - d'autres bibliothèques SSL et TLS sont disponibles, mais OpenSSL est largement utilisé sur les serveurs du Web. Une solution au problème existe, mais elle n'a peut-être pas été appliquée aux sites Web que vous visitez régulièrement pour des activités sécurisées. Ceux-ci pourraient être des achats en ligne, le jeu et d'autres sites Web orientés adultes ou même le réseautage social.

Par conséquent, toutes sortes de renseignements personnels et financiers pourraient être à risque.

Pour avoir une idée de l'ampleur de l'affaire Heartbleed (et pourquoi elle est ainsi nommée), Ryan a récemment mis en contexte ce bogue Internet dans un contexte Un bogue massif dans OpenSSL met une bonne partie du bogue massif d'Internet à risque dans OpenSSL À risque Si vous êtes de ceux qui ont toujours cru que la cryptographie open source est le moyen le plus sûr de communiquer en ligne, vous serez surpris. Lire la suite . Nous devons souligner que Heartbleed est une vulnérabilité Internet et affecte donc les utilisateurs de tous les systèmes d'exploitation, de bureau et mobiles.

Donc, c'est un gros problème - mais que pouvez-vous faire à ce sujet?

Ignorer le battage publicitaire et ne pas paniquer

Eh bien, il y a une chose que vous ne devriez pas faire: la panique. Beaucoup de choses ont été écrites sur Internet et dans les médias imprimés au cours des derniers jours, et beaucoup d'entre elles sont de la hype, doom porn, qui ferait honte aux effets de la fameuse émission de la radio War of the Worlds d'Orson Welles.

muo-heartbleed-aide-dontpanic

Une grande partie de ce que vous avez déjà vu aura été bricolé à partir de communiqués de presse et d'autres rapports de journalistes peu familiers avec la terminologie et un manque de compréhension claire des risques.

Par exemple, vous pourriez savoir que vous devriez changer vos mots de passe immédiatement (pas tout à fait vrai, nous devrions ajouter - voir ci-dessous). Mais connaissiez-vous le risque de phishing?

Le risque d'hameçonnage

Les services web responsables, les banques et les réseaux sociaux qui ont été touchés par Heartbleed vous enverront un email pour vous informer qu'ils ont réparé la vulnérabilité et vous recommandons de changer votre mot de passe.

Naturellement, vous devriez le faire - mais sachez que cette situation offre aux phishers l'occasion idéale de commencer à envoyer de faux emails, avec des liens intégrés à la page "change password" - en réalité, un site web conçu pour récolter vos informations.

muo-heartbleed-aide-pinterest

Aucun des services que vous utilisez ne devrait vous recommander de cliquer sur un lien de changement de mot de passe dans un courriel envoyé par courrier électronique non sollicité. Malheureusement, IFTTT l'a fait, tout comme Pinterest (ci-dessus). Ceci est une mauvaise pratique et donne l'impression qu'un tel lien est acceptable et devrait être cliqué.

Sauf si vous avez demandé l'e-mail, un tel lien ne doit pas être cliqué.

Les e-mails de réinitialisation de mot de passe Heartbleed ne doivent pas inclure de liens de connexion. S'ils le font, supprimez-les, puis visitez le site Web en tapant l'adresse dans votre navigateur (ou en le sélectionnant dans l'historique ou les favoris en fonction de la façon dont vous roulez avec ces choses). De là, réinitialisez votre mot de passe ...

... mais seulement si vous en avez vraiment besoin à ce stade.

Malheureusement, le fait que les entreprises aient l'impression de faire quelque chose au sujet de menaces telles que Heartbleed peut s'avérer tout aussi dommageable que la menace elle-même.

Alors, devriez-vous changer vos mots de passe?

L'un des principaux conseils de Heartbleed en circulation est que vous devriez changer vos mots de passe immédiatement.

Tous.

Ceci, malheureusement, est un exemple de la désinformation dont j'ai parlé dans l'intro. Supposons que vous utilisiez le même mot de passe pour plusieurs sites Web. Tout d'abord, c'est une mauvaise pratique et vous devriez reconsidérer le faire à l'avenir (sans oublier de créer des mots de passe plus sécurisés. Mots de passe sécurisés: Générer un mot de passe différent pour chaque site Web Mots de passe sécurisés: Générer un mot de passe différent pour chaque site.

muo-heartbleed-help-mot de passe

Deuxièmement, si vous changez sans discernement tous vos mots de passe, il y a de fortes chances que vous le fassiez sur un site Web qui ne fonctionne pas sur un serveur patché - un sur lequel Heartbleed est toujours une vulnérabilité.

Par inadvertance, vous avez potentiellement partagé votre ancien mot de passe et votre nouveau mot de passe avec ceux qui sont en mesure d'exploiter cette vulnérabilité pour leurs opérations de fraude d'identité et de spam.

En tant que tel, vous ne devez modifier votre mot de passe site par site que lorsque vous savez qu'il a été corrigé, c'est-à-dire que le correctif a été appliqué et la vulnérabilité a été supprimée.

Vérifiez quels sites Web ont été corrigés

Commencez par vérifier quels sites sont exempts de la vulnérabilité Heartbleed.

Il y a deux façons de faire ça. Tout d'abord, rendez-vous à Mashable, où vous trouverez une liste à jour des principaux sites Web touchés par Heartbleed, ainsi que des conseils pour savoir si vous devez changer votre mot de passe ou non.

Pour les plus petits sites, cet excellent outil de recherche vous dira instantanément si le site a été corrigé ou non.

Une alternative est l'extension Chromebleed Checker pour Google Chrome.

Si les sites Web que vous utilisez ont été affectés et n'ont pas encore corrigé la vulnérabilité Heartbleed, évitez de vous connecter jusqu'à ce que la situation soit résolue.

Conclusion: C'est un jeu d'attente

Faire face à la tempête Heartbleed ne devrait pas être un problème pour la plupart. Suivez le cours que nous vous avons indiqué ci-dessus et ne modifiez aucun mot de passe tant que les sites Web et services correspondants ne vous ont pas demandé de le faire.

muo-heartbleed-aide-coeur

Vous pouvez également utiliser de nouveaux outils pour vérifier si le site Web que vous prévoyez de visiter (ou même celui que vous utilisez) a été affecté et si un correctif a été appliqué.

Plus important encore, restez en sécurité et soyez patient. Le potentiel pour Heartbleed de causer des problèmes massifs est toujours là - évitez tous les sites Web qui nécessitent des correctifs jusqu'à ce que vous sachiez qu'ils sont maintenant sécurisés.

Crédits image: Bullet Heart via Shutterstock, HTTPS via Shutterstock, bouton Ne pas paniquer via Shutterstock, mot de passe via Shutterstock

In this article