Mise à jour #1: La version précédente de cet article affirmait (basée sur une liste de Github) que les utilisateurs du site HideMyAss étaient également affectés par Heartbleed. Un porte parole du site nous a contacté et nous a affirmé que leurs utilisateurs n’étaient pas affectés, nous les avons donc retirés de la liste des sites infectés.
Mise à jour #2 : Cet article a été mis à jour avec la liste des services affectés qui recommandent officiellement aux utilisateurs de changer leurs mots de passe.
Vous savez qu’une vulnérabilité de sécurité est sérieuse quand David Green, journaliste de la radio américaine NPR, commence son édition des informations de 8 heures avec cette nouvelle. Ce fut le cas ce matin, avec l’histoire d’un problème de chiffrement très sérieux – appelé Heartbleed – dans OpenSSL, certainement la bibliothèque de chiffrement la plus utilisée sur Internet. Si vous ne comprenez pas vraiment ce que tout cela signifie, ne vous inquiétez pas, nous allons tout vous raconter dans cet article.
Quand vous établissez une connexion chiffrée vers un site Web, qu’il s’agisse de Google, Facebook ou de votre banque en ligne, les données sont chiffrées en utilisant un protocole SSL/TLS. De nombreux serveurs Web populaires utilisent la bibliothèque à source ouverte, OpenSSL, pour réaliser ce travail à leur place. Plus tôt cette semaine, les responsables d’OpenSSL ont sorti une correction pour un bug très sérieux dans la mise en place d’une fonctionnalité TLS appelée « Heartbeat » et qui pourrait potentiellement révéler à un pirate jusqu’à 64K Ko de la mémoire d’un serveur.
En d’autres termes, ce défaut pourrait permettre à tout le monde sur Internet de lire la mémoire d’une machine protégée par une version vulnérable de la bibliothèque. Dans le pire des scénarios, ce petit bloc de mémoire pourrait contenir des informations sensibles : des noms d’utilisateurs, des mots de passe ou même des clés privées qui sont utilisées par le serveur pour assurer le chiffrement de votre connexion. De plus, exploiter Heartbleed ne laisse aucune trace, il est impossible de savoir si le serveur a été piraté et quel genre d’information a été volé.
La bonne nouvelle : OpenSSL a réparé la faille. La mauvaise : il est impossible de garantir que les sites et les serveurs affectés par HeartBleed utilisent le patch permettant de la réparer. Encore pire : le bug serait apparemment assez facile à exploiter et pourrait avoir existé pendant deux ans. Cela signifie que les certificats de sécurité des sites les plus célèbres, ainsi que les données sensibles des utilisateurs, y compris leurs mots de passe, pourraient avoir été volés.
Le plan d’action pour l’utilisateur
- Vérifiez si votre site préféré était vulnérable. Il existe des outils en ligne pour vérifier la présence d’une vulnérabilité, mais vous devez également savoir, si elle était présente avant. Heureusement, il existe une longue liste de sites Web populaires qui ont été testés. Bonne nouvelle : Facebook et Google ne sont pas affectés. Mauvaise nouvelle : Yahoo, Flickr, Duckduckgo, LastPass, Redtube, OkCupid, Hidemypass, 500px et bien d’autres sont vulnérables. Soyez prêt à agir si vous disposez d’un compte sur ces sites vulnérables.
- Vérifiez si le site est toujours vulnérable. Pour cela, il existe un outil très simple.
- Quand les propriétaires des sites répareront le bug, ils doivent également changer les certificats du site. Soyez donc prêt à surveiller le certificat du serveur et assurez vous que vous en utilisez un nouveau (créer le 8 avril ou ultérieurement). Pour cela, activez la vérification de la révocation de certificats dans votre navigateur. Voici un exemple à partir des paramètres de Google Chrome :
Cela empêchera votre navigateur d’utiliser des anciens certificats. Pour vérifier manuellement la date de publication d’un certificat, cliquez sur le cadenas vert dans la barre d’adresse et cliquez sur le lien « informations » dans l’onglet « connexion » :
- L’étape la plus importante – quand le patch a été installé sur le serveur et que le certificat a été mis à jour, changez votre mot de passe immédiatement. Utilisez cette opportunité pour réviser votre politique de mot de passe et commencer à utiliser des mots de passe robustes et faciles à se souvenir. Vous pouvez également vérifier si vos nouveaux mots de passe sont assez forts en utilisant notre Password Checker.