Heartbleed: nos sites pour lesquels Il semble conseille de remplacer le mot de passe
Faille OpenSsL
Le changement de son mot de passe est conseille pour la totalite des sites ayant annonce avoir fait une mise a jour de securite, apres la reperee du bug qui affecte le protocole OpenSSL
1 semaine apres la revelation d’une faille de securite i l’interieur du protocole OpenSSL, baptisee « Heartbleed », cette derniere est decrite par Quelques comme « le pire cauchemar » qui puisse arriver au sujet de la marketing des echanges sur Internet.
Notre logiciel libre OpenSSL est assis i propos des serveurs de fort nombreux sites Afin de etablir des connexions chiffrees et securisees entre ce dernier et ses utilisateurs. De tres nombreux sites Internet utilisent OpenSSL, reperable, comme, lorsqu’un verrou s’affiche au moment d’un paiement Sur les forums, ou Quand l’URL d’un site commence par « https » (le « s » signifiant SSL).
Le bug Heartbleed (dont l’origine se trouve etre premonitoire de programmation d’un developpeur allemand) va permettre, en theorie, a des pirates informatiques de pouvoir recuperer un grand nombre d’informations sur les utilisateurs des sites utilisant votre protocole de securite (leurs identifiants et mots de marche, leurs codes de cartes bancaires, etc.).
L’ampleur des degats causes n’est pas connue, personne n’ayant reussi a dire pour le moment si des pirates ont decouvert votre bug avant son identification par des ingenieurs et l’alerte mondiale lancee lundi 7 avril. Cette derniere precise que le bug est present dans toutes les versions des logiciels OpenSSL sorties depuis mars 2012. Et que le exploitation via des individus en gali?re intentionnees ne laisse aucune trace.
De nombreuses sites concernes par le probleme ont, depuis l’annonce, dit avoir effectue la mise a jour necessaire Afin de combler la faille de securite. Cela signifie que les utilisateurs des sites, dont des precisions ont pu etre avant ce qui accessibles a toutes les pirates en raison de Heartbleed, ont la possibilite de desormais remplacer leurs identifiants et leurs mots de passe. Cela afin d’etre sur que personne ne puisse se servir des informations qui auraient pu etre obtenues en exploitant le bug, entre mars 2012 et le 7 avril.
« Si des gens se seront identifiees sur un de ces services pendant un moment ou il est vulnerable, il y a un risque afin que le commentaire de marche ait ete recolte. C’est une agreable idee de remplacer ses mots de marche concernant l’ensemble des portails ayant fait la mise a jour d’OpenSSL », assure un expert en securite informatique a Notre BBC.
Parmi les sites ci-dessous, diverses ont d’ailleurs explicitement reclame a leurs utilisateurs de mettre a jour leurs precisions d’identification. D’autres ont juste dit avoir comble la faille de securite, sans preciser s’il fallait ou non remplacer ses identifiants.
Puisque, de l’aveu meme des ingenieurs de Google ayant trouve Heartbleed, « l’exploitation de ce bug [par des pirates] ne laisse aucune trace anormale » et est indetectable, nous vous conseillons de coder un nouveau commentaire de marche (qui ne soit gui?re « motdepasse » ou « 123456 ») pour la totalite des sites ayant annonce avoir fait une mise a jour d’OpenSSL.
Selon la declaration du reseau social a Mashable : « Nous avons protege notre protocole OpenSSL avant que le souci ne soit rendu public [grace a des precisions partagees en direct avec des ingenieurs de Google travaillant concernant OpenSSL]. Nous n’avons jamais detecte d’activites suspectes sur des comptes Facebook liees a votre bug. Neanmoins, nous encourageons les utilisateurs de beneficier de i§a Afin de mettre en place un nouveau commentaire de passe unique concernant Facebook. »
Et plus precisement ses applications Gmail, YouTube, Wallet, Play. « Nous avons evalue la vulnerabilite d’OpenSSL et avons decide d’appliquer un patch de securite a toutes les services-cles de Google, tel la recherche, Gmail, YouTube, Wallet, Play, Apps, et App Engine », declarent nos equipes de securite de Google dans leur blog.
Yahoo!
dont nos services Yahoo Mail, Flickr et Tumblr sont concernes, dit que « les corrections appropriees ont ete apportees a bien le portail ». Mes equipes de Tumblr poussent leurs utilisateurs a changer tous leurs mots de passe dans l’ensemble des sites Internet.