La dernière fois que nous vous avons alerté d’une faille de sécurité majeure, c’est lorsque la base de données de mots de passe d’Adobe a été compromise, mettant en danger des millions d’utilisateurs (en particulier ceux dont les mots de passe sont faibles et fréquemment réutilisés). Aujourd’hui, nous vous avertissons d’un problème de sécurité beaucoup plus important, le bogue Heartbleed, qui a potentiellement compromis un nombre impressionnant de 2/3 des sites Web sécurisés sur Internet. Vous devez changer vos mots de passe et vous devez commencer à le faire maintenant.
Remarque importante: How-To Geek n’est pas affecté par ce bogue.
Qu’est-ce que Heartbleed et pourquoi est-ce si dangereux?
Dans votre faille de sécurité typique, les enregistrements / mots de passe des utilisateurs d’une seule entreprise sont exposés. C’est horrible quand ça arrive, mais c’est une affaire isolée. La société X a une faille de sécurité, elle envoie un avertissement à ses utilisateurs et les gens comme nous rappellent à tout le monde qu’il est temps de commencer à pratiquer une bonne hygiène de sécurité et de mettre à jour leurs mots de passe. Malheureusement, ces violations typiques sont déjà suffisamment graves. Le bogue Heartbleed est quelque chose de bien pire.
Le bogue Heartbleed sape le schéma de cryptage même qui nous protège lorsque nous envoyons des e-mails, effectuons des transactions bancaires et interagissons avec des sites Web que nous pensons sécurisés. Voici une description en clair de la vulnérabilité de Codenomicon, le groupe de sécurité qui a découvert et alerté le public du bogue:
Le bogue Heartbleed est une vulnérabilité sérieuse dans la populaire bibliothèque de logiciels cryptographiques OpenSSL. Cette faiblesse permet de voler les informations protégées, dans des conditions normales, par le cryptage SSL / TLS utilisé pour sécuriser Internet. SSL / TLS assure la sécurité des communications et la confidentialité sur Internet pour des applications telles que le Web, la messagerie électronique, la messagerie instantanée (IM) et certains réseaux privés virtuels (VPN).
Le bug Heartbleed permet à quiconque sur Internet de lire la mémoire des systèmes protégés par les versions vulnérables du logiciel OpenSSL. Cela compromet les clés secrètes utilisées pour identifier les fournisseurs de services et pour crypter le trafic, les noms et mots de passe des utilisateurs et le contenu réel. Cela permet aux attaquants d’écouter les communications, de voler des données directement auprès des services et des utilisateurs et de se faire passer pour des services et des utilisateurs.
Cela semble assez mauvais, oui? Cela semble encore pire lorsque vous réalisez qu’environ les deux tiers de tous les sites Web utilisant SSL utilisent cette version vulnérable d’OpenSSL. Nous ne parlons pas de petits sites tels que les forums hot rod ou les sites d’échange de jeux de cartes à collectionner, nous parlons de banques, de sociétés de cartes de crédit, de grands détaillants en ligne et de fournisseurs de courrier électronique. Pire encore, cette vulnérabilité est à l’état sauvage depuis environ deux ans. Cela fait deux ans qu’une personne possédant les connaissances et les compétences appropriées aurait pu puiser dans les informations de connexion et les communications privées d’un service que vous utilisez (et, selon les tests menés par Codenomicon, le faire sans laisser de trace).
Pour une meilleure illustration du fonctionnement du bug Heartbleed. lis ça xkcd bande dessinée.
Bien qu’aucun groupe ne se soit présenté pour afficher toutes les informations d’identification et les informations qu’ils ont siphonnées avec l’exploit, à ce stade du jeu, vous devez supposer que les informations de connexion pour les sites Web que vous fréquentez ont été compromises.
Que faire après un bogue Heartbleed
Toute faille de sécurité majoritaire (et cela se qualifie certainement à grande échelle) vous oblige à évaluer vos pratiques de gestion des mots de passe. Compte tenu de la large portée du bogue Heartbleed, c’est une occasion idéale de passer en revue un système de gestion des mots de passe qui fonctionne déjà bien ou, si vous avez traîné les pieds, d’en créer un.
Avant de vous lancer dans la modification immédiate de vos mots de passe, sachez que la vulnérabilité n’est corrigée que si l’entreprise a mis à niveau vers la nouvelle version d’OpenSSL. L’histoire a éclaté lundi, et si vous vous précipitiez pour changer immédiatement vos mots de passe sur chaque site, la plupart d’entre eux auraient toujours utilisé la version vulnérable d’OpenSSL.
Maintenant, en milieu de semaine, la plupart des sites ont commencé le processus de mise à jour et d’ici le week-end, il est raisonnable de supposer que la majorité des sites Web de haut niveau auront basculé.
Vous pouvez utiliser le Vérificateur de bogues Heartbleed ici pour voir si la vulnérabilité est encore ouverte ou, même si le site ne répond pas aux demandes du vérificateur susmentionné, vous pouvez utiliser Vérificateur de date SSL de LastPass pour voir si le serveur en question a récemment mis à jour son certificat SSL (s’il l’a mis à jour après le 07/04/2014, c’est un bon indicateur qu’il a corrigé la vulnérabilité.) Remarque: si vous exécutez howtogeek.com via le vérificateur de bogues, il renverra une erreur car nous n’utilisons pas le cryptage SSL en premier lieu, et nous avons également vérifié que nos serveurs n’exécutent aucun logiciel affecté.
Cela dit, il semble que ce week-end s’annonce comme un bon week-end pour prendre au sérieux la mise à jour de vos mots de passe. Tout d’abord, vous avez besoin d’un système de gestion des mots de passe. Consultez notre guide pour démarrer avec LastPass pour configurer l’une des options de gestion des mots de passe les plus sécurisées et les plus flexibles. Vous n’êtes pas obligé d’utiliser LastPass, mais vous avez besoin d’une sorte de système en place qui vous permettra de suivre et de gérer un mot de passe unique et fort pour chaque site Web que vous visitez.
Deuxièmement, vous devez commencer à changer vos mots de passe. Le plan de gestion de crise dans notre guide, Comment récupérer après que votre mot de passe de messagerie est compromis, est un excellent moyen de vous assurer de ne manquer aucun mot de passe; il met également en évidence les bases d’une bonne hygiène des mots de passe, cités ici:
- . Si le service en question autorise des mots de passe de 6 à 20 caractères, choisissez le mot de passe le plus long dont vous vous souviendrez.
- . Votre mot de passe doit être si simple qu’une analyse rapide avec un fichier de dictionnaire le révèle. N’incluez jamais votre nom, une partie de l’identifiant ou de l’e-mail, ou d’autres éléments facilement identifiables comme le nom de votre entreprise ou le nom de votre rue. Évitez également d’utiliser des combinaisons de clavier courantes comme «qwerty» ou «asdf» dans le cadre de votre mot de passe.
- Si vous n’utilisez pas de gestionnaire de mots de passe pour vous souvenir de mots de passe vraiment aléatoires (oui, nous réalisons que nous tenons vraiment à utiliser un gestionnaire de mots de passe), vous pouvez vous souvenir de mots de passe plus forts en les transformant en phrases de passe. Pour votre compte Amazon, par exemple, vous pouvez créer la phrase secrète «J’adore lire des livres», facilement mémorisable, puis la transformer en un mot de passe comme «! Luv2ReadBkz». C’est facile à retenir et c’est assez fort.
Troisièmement, dans la mesure du possible, vous souhaitez activer l’authentification à deux facteurs. Vous pouvez en savoir plus sur l’authentification à deux facteurs ici, mais en bref, cela vous permet d’ajouter une couche d’identification supplémentaire à votre connexion.
Avec Gmail, par exemple, l’authentification à deux facteurs nécessite non seulement votre identifiant et votre mot de passe, mais également l’accès au téléphone portable enregistré sur votre compte Gmail afin que vous puissiez accepter un code de message texte à saisir lorsque vous vous connectez à partir d’un nouvel ordinateur.
Avec l’authentification à deux facteurs activée, il est très difficile pour quelqu’un qui a obtenu l’accès à votre identifiant et à votre mot de passe (comme ils le pourraient avec le bogue Heartbleed) d’accéder réellement à votre compte.
Les vulnérabilités de sécurité, en particulier celles qui ont des implications aussi importantes, ne sont jamais amusantes, mais elles nous offrent l’occasion de resserrer nos pratiques en matière de mots de passe et de garantir que les mots de passe uniques et forts maintiennent les dommages, lorsqu’ils se produisent, contenus.
