Heartbleed: des sites pour lesquels c’est conseille de remplacer son mot de marche
Faille OpenSsL
Le changement de le mot de passe reste conseille Afin de l’ensemble des sites ayant annonce avoir fait une mise a jour de securite, apres la reperee du bug qui affecte le protocole OpenSSL
1 semaine apres la revelation d’une faille de securite au coeur du
Notre logiciel libre OpenSSL reste assis sur les serveurs de reellement nombreux sites Afin de etablir des connexions chiffrees et securisees entre ce dernier et ses utilisateurs. De tres nombreux sites Internet utilisent OpenSSL, reperable, entre autres, lorsqu’un verrou s’affiche i l’instant d’un paiement en ligne, ou si l’URL d’un site commence par « https » (le « s » signifiant SSL).
Le bug Heartbleed (dont l’origine se deniche etre premonitoire de programmation d’un developpeur allemand) va permettre, en theorie, a des pirates informatiques de i?tre capable de recuperer un grand nombre d’informations i propos des utilisateurs des e-boutiques utilisant votre protocole de securite (leurs identifiants et mots de marche, leurs codes de cartes bancaires, etc.).
L’ampleur des degats causes n’est gui?re connue, personne n’ayant reussi a dire concernant le moment si des pirates ont decouvert ce bug avant le identification par des ingenieurs et l’alerte mondiale lancee lundi 7 avril. Cette derniere precise que le bug reste present dans toutes les versions des logiciels OpenSSL sorties depuis mars 2012. Et que le exploitation via des gens mal intentionnees ne laisse aucune trace.
De nombreuses sites concernes par le probleme ont, depuis l’annonce, dit avoir effectue la mise a jour necessaire Afin de combler la faille de securite. Cela signifie que les utilisateurs de ces sites, dont des donnees ont pu etre avant ce qui accessibles aux pirates en raison de Heartbleed, peuvent desormais changer leurs identifiants et leurs mots de passe. Ca afin d’etre sur que personne ne puisse se servir des informations qui auraient pu etre obtenues en exploitant le bug, entre mars 2012 et le 7 avril.
« Si des personnes se seront identifiees sur un des services pendant un moment ou il est vulnerable, il y a un risque pour que le commentaire de marche ait ete recolte. C’est une agreable idee de remplacer ses mots de passe sur la totalite des portails ayant fait la mise a jour d’OpenSSL », assure votre expert en securite informatique a J’ai BBC.
Parmi les sites ci-dessous, diverses ont d’ailleurs explicitement reclame a leurs utilisateurs de mettre a jour leurs precisions d’identification. D’autres ont seulement devoile avoir comble la faille de securite, sans preciser s’il fallait ou non remplacer ses identifiants.
Puisque, de l’aveu meme des ingenieurs de Google ayant decouvert Heartbleed, « l’exploitation de votre bug [par des pirates] ne laisse aucune trace anormale » et reste indetectable, nous vous conseillons de creer votre nouveau mot de marche (qui ne soit jamais « motdepasse » ou « 123456 ») Afin de l’ensemble des sites ayant annonce avoir fait une mise a jour d’OpenSSL.
Selon la declaration du reseau social a Mashable : « Nous avons protege notre protocole OpenSSL avant que le probleme ne soit rendu public [grace a des renseignements partagees directement via des ingenieurs de Google travaillant dans OpenSSL]. Nous n’avons pas detecte d’activites suspectes sur des comptes Facebook liees a ce bug. Neanmoins, nous encourageons les utilisateurs de profiter de ce moment pour mettre en place un nouveau mot de passe unique pour Facebook. »
Et plus precisement ses applications Gmail, YouTube, Wallet, Play. « Nous avons evalue la vulnerabilite d’OpenSSL et avons decide d’appliquer un patch de securite a toutes les services-cles de Google, comme la requi?te, Gmail, YouTube, Wallet, Play, Apps, ainsi, App Engine », declarent des equipes de securite de Google via un blog.
Yahoo!
dont nos services Yahoo Mail, Flickr et Tumblr paraissent concernes, dit que « nos corrections appropriees ont ete apportees a tout le portail ». Les equipes de Tumblr poussent leurs utilisateurs a changer tous leurs mots de marche via l’integralite des sites Internet.