«

»

Avr 21 2014

Imprimer ce Article

Heartbleed : La méchante faille OpenSSL

Heartbleed est le nom d’une faille de sécurité découverte dans la bibliothèque OpenSSL, utilisée par de nombreux sites pour sécuriser la navigation internet (https).
Les banques, Google, Facebook, Yahoo (Flickr inclus), une partie des services Amazon, Dropbox…ont du passer par la case mise à jour : Au total, ce sont environ 30% des serveurs web qui étaient vulnérables.
Les utilisateurs qui se connectaient alors sur ces sites (consultation de comptes, mails, commandes…), avant leur mise à jour, étaient susceptibles de se voir dérober leurs identifiants.

Heartbleed une faille présente depuis 2 ans

Heartbleed affecte uniquement certaines versions OpenSSL, utilisée pour crypter les échanges sur internet.
Pour faire simple, cette faille permet de lire en clair, par le biais d’une requête, des informations stockées en mémoire d’un serveur sécurisé sur lequel vous êtes connectés.
Les chercheurs affirment à priori avoir été les premiers à trouver ce problème…et dans le même temps, que les hackeurs auraient pu infiltrer des sites sans laisser de trace!
Bien que la faille OpenSSL vient seulement d’être divulguée au grand jour, c’est bien au cours des deux dernières années, qu’elle a pu être exploitée… (en toute discrétion par la NSA?)

Changez vos mots de passe : Oui, mais au bon moment!

Impossible de connaitre si un site a été attaqué, mais une fois que la faille a été rebouchée, changez votre mot de passe, pour cela :
1. Vérifiez si les sites que vous consultez régulièrement ont été corrigés :
  • Consultez la liste des principaux sites impactés par la faille OpenSSL (non exhaustive).
  • Entrez manuellement l’adresse du site à vérifier.
  • Si vous utilisez LastPass, un gestionnaire de mot de passe, sachez que l’outil vous indique quels mots de passe sont à changer depuis le menu Outils > Contrôle de sécurité.
  • J’ai également installé l’extension Chromebleed qui permet lors de la navigation internet de vérifier l’état de OpenSSL, mais aussi dans les résultats de recherche Google.

 

Heartbleed La méchante faille OpenSSL MrBricolage

C’est le moment de tondre sa pelouse mais pas encore de se connecter sur le site de MrBricolage! (Edit : La faille a été corrigée, deux semaines plus tard)

2. Si la la brèche Heatbleed a été comblée, changez le mot de passe du site en question.

Smartphones et tablettes Android peuvent être également touchés : Vérifiez la version OpenSSL embarquée avec Heartbleed Detector . (iPhone, iPad et Windows Phone ne sont pas concernés).

Au vu de l’ampleur du problème, je suis étonné que si peu de média ont parlé de Heartbleed.

Vous l’aurez compris mieux faut prévenir que guérir : Changez dès que possible les mots de passes des sites susceptibles d’avoir été impactées.

Lien Permanent pour cet article : http://sebastien.toursel.fr/securite/heartbleed-mechante-faille-openssl/

Laisser un commentaire