Faille OpenSsL
Le changement de son commentaire de marche reste conseille pour tous les sites qui ont annonce avoir fera une mise a jour de securite, apres la reperee du bug qui affecte le protocole OpenSSL
Deux jours apres la revelation d’une faille de securite au coeur du protocole OpenSSL, baptisee « Heartbleed », cette derniere reste decrite par plusieurs comme « le pire cauchemar » qui puisse arriver concernant la securite des echanges sur Internet.
Le logiciel libre OpenSSL reste installe sur les serveurs de reellement nombreux sites Afin de etablir des connexions chiffrees et securisees entre ce dernier et ses utilisateurs. De tres nombreux sites Internet utilisent OpenSSL, reperable, comme, lorsqu’un verrou s’affiche i l’instant d’un paiement en ligne, ou Quand l’URL d’un site commence par « https » (le « s https://besthookupwebsites.org/fr/sites-echangistes/ » signifiant SSL).
Le bug Heartbleed (dont l’origine se voit etre premonitoire de programmation d’un developpeur allemand) permet, en theorie, a des pirates informatiques de pouvoir recuperer un grand nombre d’informations i propos des utilisateurs des e-boutiques utilisant votre protocole de securite (leurs identifiants et mots de marche, leurs codes de cartes bancaires, etc.).
L’ampleur des degats causes n’est gui?re connue, personne n’ayant reussi a penser pour le moment si des pirates ont decouvert ce bug avant le identification par des ingenieurs et l’alerte mondiale lancee lundi 7 avril. Cette derniere precise que le bug reste present dans l’ensemble des versions des logiciels OpenSSL sorties depuis mars 2012. Et que le exploitation via des personnes en gali?re intentionnees ne laisse aucune trace.
Beaucoup de sites concernes par le probleme ont, depuis l’annonce, dit avoir effectue la mise a jour utile Afin de combler la faille de securite. Cela signifie que les utilisateurs des sites, dont les precisions ont pu etre avant cela accessibles aux pirates en raison de Heartbleed, pourront desormais remplacer leurs identifiants et leurs mots de marche. Cela afin d’etre sur que personne ne puisse se servir des informations qui auraient pu etre obtenues en exploitant le bug, entre mars 2012 et le 7 avril.
« Si des personnes se sont identifiees sur un des services pendant un moment ou il est vulnerable, on voit un risque pour que le commentaire de marche ait ete recolte. C’est une bonne idee de remplacer ses mots de passe dans tous les portails qui ont fait la mise a jour d’OpenSSL », assure un expert en securite informatique a J’ai BBC.
Parmi les sites ci-dessous, quelques ont d’ailleurs explicitement demande a leurs utilisateurs de mettre a jour leurs informations d’identification. D’autres ont simplement evoque avoir comble la faille de securite, sans preciser s’il fallait ou non remplacer ses identifiants.
Puisque, de l’aveu meme des ingenieurs de Google ayant trouve Heartbleed, « l’exploitation de ce bug [par des pirates] ne laisse aucune trace anormale » et reste indetectable, nous vous conseillons de creer un nouveau commentaire de marche (qui ne soit pas « motdepasse » ou « 123456 ») pour la totalite des sites ayant annonce avoir fera une mise a jour d’OpenSSL.
Selon la declaration du reseau social a Mashable : « Nous avons protege notre protocole OpenSSL avant que le souci ne soit rendu public [grace a des precisions partagees en direct par des ingenieurs de Google travaillant concernant OpenSSL]. Nous n’avons gui?re detecte d’activites suspectes sur des comptes Facebook liees a ce bug. Neanmoins, nous encourageons des utilisateurs de profiter de i§a Afin de mettre en place un nouveau mot de marche unique concernant Facebook. »
Et plus precisement ses applications Gmail, YouTube, Wallet, Play. « Nous avons evalue la vulnerabilite d’OpenSSL et avons decide d’appliquer un patch de securite aux services-cles de Google, comme la recherche, Gmail, YouTube, Wallet, Play, Apps, ainsi, App Engine », declarent nos equipes de securite de Google sur un blog.
Yahoo!
dont nos services Yahoo Mail, Flickr et Tumblr sont concernes, dit que « les corrections appropriees ont ete apportees a tout le portail ». Les equipes de Tumblr poussent leurs utilisateurs a changer tous leurs mots de passe sur l’integralite des sites Internet.