Important note: How-To Geek is not affected by this bug.
Qu'est-ce que Heartbleed et pourquoi est-il si dangereux?
Dans votre violation de sécurité typique, les enregistrements / mots de passe d’une seule entreprise sont exposés. C’est affreux quand cela se produit, mais c’est une affaire isolée. La société X a une violation de la sécurité, elle avertit ses utilisateurs et les personnes comme nous rappellent à tout le monde qu’il est temps de commencer à appliquer une bonne hygiène de sécurité et de mettre à jour leurs mots de passe. Malheureusement, ces violations typiques sont déjà assez graves. Le bug Heartbleed est quelque chose de beaucoup,beaucoup, pire.
Le bogue Heartbleed compromet le schéma de cryptage qui nous protège lorsque nous envoyons des e-mails, des transactions bancaires et que nous interagissons avec des sites Web que nous considérons comme sécurisés. Voici une description en anglais clair de la vulnérabilité de Codenomicon, le groupe de sécurité qui a découvert et alerté le public sur le bogue:
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).
The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.
Cela semble assez mauvais, oui? Cela semble encore pire lorsque vous réalisez qu'environ les deux tiers de tous les sites Web utilisant SSL utilisent cette version vulnérable d'OpenSSL. Nous ne parlons pas de sites de petite taille comme des forums de hot rod ou des sites d'échange de jeux de cartes à collectionner, nous parlons de banques, de sociétés de cartes de crédit, de grands détaillants en ligne et de fournisseurs de messagerie. Pire encore, cette vulnérabilité est à l’état sauvage depuis environ deux ans. Cela fait deux ans que quelqu'un possédant les connaissances et les compétences appropriées aurait pu puiser dans les identifiants de connexion et les communications privées d'un service que vous utilisez (et, selon les tests effectués par Codenomicon, le faire sans laisser de trace).
Pour une meilleure illustration du fonctionnement du bogue Heartbleed. lisez cette bande dessinée xkcd.
Que faire après le bogue Heartbleed
Toute atteinte à la sécurité majoritaire (et certainement qualifiée à grande échelle) vous oblige à évaluer vos pratiques de gestion des mots de passe. Compte tenu de la portée étendue du bogue Heartbleed, c’est l’occasion idéale pour passer en revue un système de gestion de mots de passe qui fonctionne déjà bien ou, si vous vous êtes traîné, pour en configurer un.
Avant de vous lancer dans la modification immédiate de vos mots de passe, sachez que la vulnérabilité n'est corrigée que si l'entreprise a effectué la mise à niveau vers la nouvelle version d'OpenSSL. L'histoire a éclaté lundi et si vous vous précipitiez pour changer immédiatement vos mots de passe sur chaque site, la plupart d'entre eux exécutaient toujours la version vulnérable d'OpenSSL.
Maintenant, en milieu de semaine, la plupart des sites ont commencé le processus de mise à jour et d’ici le week-end, il est raisonnable de supposer que la majorité des sites Web de haut niveau auront basculé.
Vous pouvez utiliser le vérificateur de bogue Heartbleed ici pour voir si la vulnérabilité est toujours ouverte ou, même si le site ne répond pas aux requêtes du vérificateur susmentionné, vous pouvez utiliser le vérificateur de date SSL de LastPass pour voir si le serveur en question a mis à jour leur. Certificat SSL récemment (s'ils l'ont mis à jour après le 07/04/2014, c'est un bon indicateur qu'ils ont corrigé la vulnérabilité.) Remarque: si vous exécutez howtogeek.com par le biais du vérificateur de bogues, il renverra une erreur car nous n’utilisons pas le cryptage SSL au préalable, et nous avons également vérifié que nos serveurs n’exécutaient aucun logiciel concerné.
Cela dit, il semble que ce week-end s'annonce comme un bon week-end pour la mise à jour sérieuse de vos mots de passe. Tout d'abord, vous avez besoin d'un système de gestion de mot de passe. Consultez notre guide pour commencer à utiliser LastPass afin de configurer l’une des options de gestion de mot de passe les plus sûres et les plus flexibles du marché. Vous n’êtes pas obligé d’utiliser LastPass, vous avez besoin d’un système qui vous permette de suivre et de gérer un mot de passe unique et fort pour chaque site Web visité.
Deuxièmement, vous devez commencer à changer vos mots de passe. La procédure de gestion de crise présentée dans notre guide, Comment récupérer une fois que votre mot de passe est compromis, est un excellent moyen de vous assurer de ne perdre aucun mot de passe; Il met également en évidence les bases d’une bonne hygiène du mot de passe, cité ici:
- Passwords should always be longer than the minimum the service allows for. If the service in question allows for 6-20 character passwords go for the longest password you can remember.
- Do not use dictionary words as part of your password. Your password should never be so simple that a cursory scan with a dictionary file would reveal it. Never include your name, part of the login or email, or other easily identifiable items like your company name or street name. Also avoid using common keyboard combinations like “qwerty” or “asdf” as part of your password.
- Use passphrases instead of passwords. If you’re not using a password manager to remember really random passwords (yes, we realize we’re really harping on the idea of using a password manager) then you can remember stronger passwords by turning them into passphrases. For your Amazon account, for example, you could create the easily remember passphrase “I love to read books” and then crunch that into a password like “!luv2ReadBkz”. It’s easy to remember and it’s fairly strong.
Troisièmement, chaque fois que cela est possible, vous souhaitez activer l’authentification à deux facteurs. Vous pouvez en savoir plus sur l'authentification à deux facteurs ici, mais en bref, cela vous permet d'ajouter une couche d'identification supplémentaire à votre nom d'utilisateur.
Avec Gmail, par exemple, l’authentification à deux facteurs nécessite que vous ayez non seulement votre identifiant et votre mot de passe, mais également un accès au téléphone portable enregistré sur votre compte Gmail, afin que vous puissiez accepter un code de message texte à saisir lorsque vous vous connectez à partir d’un nouvel ordinateur.
Avec l'authentification à deux facteurs activée, il est très difficile pour une personne ayant accès à votre identifiant et à votre mot de passe (comme avec le bug Heartbleed) d'accéder à votre compte.
Les vulnérabilités de sécurité, en particulier celles qui ont des implications aussi profondes, ne sont jamais amusantes, mais elles nous offrent une occasion de resserrer nos pratiques en matière de mots de passe et de garantir que des mots de passe uniques et forts permettent de contenir les dommages, le cas échéant.
