Faille Heartbleed, kesako ?

Les moins technophiles d’entre vous sont peut-être passés à coté de l’info qui a fait paniquer tout le web pendant quelques semaines, à savoir la faille de sécurité Heartbleed qui touche la grande majorité des sites impliquant pour des raisons de sécurité de changer tous ses mots de passe.

Article complètement repris de Rebellyon.

Avant de crier au loup et la paranoïa mondiale style bug de l’an 2000, nous vous proposons de revenir rapidement sur les détails de cette faille, ce qu’elle implique et ce qu’il est conseillé de faire.

1- La faille Heartbleed

Le 8 avril 2014, une énorme faille de sécurité a été divulguée, nom de code : « Heartbleed » . Elle impacte OpenSSL, qui est une bibliothèque open-source permettant d’implémenter un protocole de chiffrement SSL/TLS sur des sites web.
Largement utilisé sur de nombreux serveurs à travers le monde (environ 2/3), ce protocole de chiffrement permet de sécuriser les échanges entre les navigateurs web et les serveurs de stockage de données.
En gros, cela permet que vos mots de passe et données privées soient sécurisés lorsque vous vous connectez sur les sites où vous êtes inscrits (banques, forum, mail, rebellyon, iaata ... !)

2 - Les conséquences de l’exploitation de cette faille

Un site web a été mis en place afin d’expliquer les causes et conséquences potentielles de cette faille, et elles sont loin d’être anodines.
En effet, ce « bug » permet à n’importe qui d’accéder à des informations stockées dans la mémoire d’un serveur, celles-ci pouvant être confidentielles : « cela compromet la clé de sécurité utilisée pour s’identifier et sécuriser le trafic, les logins et les mots de passe des utilisateurs, ainsi que le contenu. Cela permet aux pirates d’écouter des communications, de voler des données directement sur des serveurs web et chez les utilisateurs, tout en se faisant passer pour quelqu’un d’autre ».
Mais le plus inquiétant reste à venir : cette faille existerait en fait depuis décembre 2011 !!!

Si après sa découverte le 8 avril par un chercheur en sécurité cette faille a été minimisée en expliquant que les informations que l’on pouvait recueillir grâce à cette faille était aléatoire (en effet en utilisant ce bug on ne choisit pas ce que l’on récupère sur le serveur) dans le même week-end, en à peine 9h, deux ingénieurs ont réussi à récupérer des clés de chiffrement de sites web (plus d’info ici) prouvant bien que la faille est critique !

On apprend de plus mardi 15 avril que au Canada, des pirates ont pu récupérer les numéros de sécurité sociale de 900 personnes sur le site de l’Agence du revenu du Canada. En Angleterre, ce sont les données de 1,5 million d’usagers du forum Mumsnet (site dédié aux futurs mamans) qui ont été détournées !!

3 - Mieux vaut prévenir que guérir

Du coup quelles sont les implications concrètes, que faut-il faire ? Doit-on changer tous ses mots de passe maintenant ?
Et bien la réponse doit être nuancée, il ne faut pas le faire partout, tout de suite !
En effet, il faut s’assurer que les sites où vous êtes inscrit aient corrigé la faille de sécurité, car si jamais cela n’est pas encore fait, le nouveau mot de passe que vous allez mettre pourrait fuiter à son tour.
Afin de savoir si un site est touché par cette faille de sécurité, un mini site dédié a été mis en place. Il suffit d’entrer une URL pour savoir ce qu’il en est : https://filippo.io/Heartbleed/

Néanmoins, à terme, vous devrez changer TOUS vos mots de passe, sur TOUS les services que vous utilisez. (encore plus si vous utilisez le même mot de passe pour plusieurs services)
Il faudra néanmoins respecter quelques règles, en ayant en tête une chose : la sécurité amène forcément de la complexité.

Vouloir éviter tous les problèmes en utilisant le nom du chien de la famille et la date de naissance de la petite dernière comme mot de passe, même sur des sites sensibles, ne fait que vous exposer plus à un potentiel piratage de vos comptes.

Vous n’avez jamais eu de problème ? C’est aussi ce que disent ceux qui n’ont jamais fait de sauvegarde de données... jusqu’au jour où ils perdent tout !!

Pour plus d’info sur comment choisir un mot de passe, voir cet article

Sources :

Votre site collaboratif d’informations locales et anti-autoritaires, iaata, est en "bonne santé", cela dit, un nouveau mot de passe plus fiable ne serait pas de trop, surtout pour les comptes rédacteur.ice.s et administrateur.ice.s.

Publiez !

Comment publier sur IAATA?

IAATA est ouvert à la publication. La proposition d’article se fait à travers l’interface privée du site. Quelques infos rapides pour comprendre comment y accéder et procéder ! Si vous rencontrez le moindre problème, n’hésitez pas à nous contacter.