Contact

Québec

2095, rue Frank-Carrel, bur. 214
Québec (Québec)
G1N 4L8

Téléphone 418 353-1808
Télécopieur 418 907-8445

Localisez-nous via Google Maps

Belgique

Avenue Athéna 1
B 1348 Louvain-la-Neuve
Belgique

Téléphone +32 (0)10 45 85 14

Localisez-nous via Google Maps

France

110 Rue Réaumur,
75002 Paris, 
France

Téléphone +33 1 85 76 30 90

Localisez-nous via Google Maps

  • Ce champ n'est utilisé qu'à des fins de validation et devrait rester inchangé.

Heartbleed : que pouvez-vous faire?

La fameuse faille de sécurité d’OpenSSL nommée Heartbleed a créé une panique générale sur Internet cette semaine. Pourtant, elle existe depuis déjà deux ans et peut être exploitée depuis au moins cinq mois, mais c’est aujourd’hui qu’elle est découverte. Que pouvons-nous faire concrètement pour s’en protéger?

heartbleed-logo

Qu’est-ce que Heartbleed?

Tout d’abord, Heartbleed est le nom qui a été donné à une très sérieuse vulnérabilité, un bogue – et non un virus – dans OpenSSL, la bibliothèque de cryptographie open source la plus utilisée pour sécuriser un site Web, découverte par Neel Mehta de Google Security. Ce bogue permet aux attaquants de lire la mémoire d’un serveur protégé par une version vulnérable du logiciel OpenSSL pour en récupérer, par exemple, des données privées et sécurisées, et ce sans laisser de trace de leur passage. Officiellement, les versions d’OpenSSL qui sont affectées sont 1.0.2-beta et 1.0.1 à 1.0.1f inclusivement.

Quoi faire en tant que consommateur

Les utilisateurs moyens d’Internet ne peuvent pas faire grand chose pour s’assurer que leurs données sont protégées. Cette faille de sécurité affecte directement les serveurs qui hébergent les sites Web que nous utilisons, et pas un ordinateur individuel ou tout autre appareil. La plupart des services Web bien connus qui pourraient être affectés par cette faille, comme Facebook, Instagram, Google, Dropbox, etc., ont pour la plupart réglé le problème rapidement. Cependant, étant donné que la faille existe depuis deux ans, rien ne garantit que des données n’ont pas été piratées. C’est pourquoi il est conseillé de changer les mots de passe pour ces sites. La meilleure chose à faire est donc d’attendre que les sites Web que nous utilisons corrigent la faille de sécurité de leur côté, de changer ensuite nos mots de passe et d’espérer qu’il n’y ait pas eu de fuite de données. La liste complète des sites Internet affectés se trouve ici ou vous pouvez vérifier ici si un site est vulnérable.

Quoi faire en tant que propriétaire de site

Si vous êtes propriétaire d’un site sécurisé par le protocole OpenSSL, il est important de votre côté de vérifier la version de votre certificat SSL. Si c’est une version vulnérable à la faille Heartbleed, vous devez communiquer avec votre hébergeur et lui demander de mettre à jour la version d’OpenSSL utilisée pour votre site à la version 1.0.1g. Pour la version 1.0.2-beta, le bogue sera réglé dans la prochaine version, soit 1.0.2-beta2.

Pour tester un site, entrez son adresse ici.

Pour les geeks qui voudraient en savoir plus, voici une vidéo explicative.

OpenSSL Heartbeat (Heartbleed) Vulnerability (CVE-2014-0160) and its High-Level Mechanics from Elastica Inc on Vimeo.

Sources : 

À lire ensuite:

Appels au like, spam … Facebook veut nettoyer votre flux d'actualité