Heartbleed: Qu'est-ce que c'est et que devriez-vous faire à ce sujet?
Si vous voyez un symbole de cœur rouge, creux et dégoulinant dans votre fil de nouvelles, alors oui, vous avez probablement entendu parler de la dernière faille de sécurité pour toucher Internet: Heartbleed . Le bogue de la sécurité qui a compromis la sécurité des comptes sur des sites comme Yahoo, Facebook et même l'Agence du revenu du Canada, tout l'Internet est dans les bras. Vous avez probablement été invité à changer vos mots de passe pour vos emails, comptes en ligne, etc., mais attendez.
Au milieu de toutes ces informations, cependant, il peut être difficile de faire la tête ou la queue de ce qui se passe exactement. Qu'est-ce que Heartbleed, exactement? Est-ce vraiment aussi dangereux que tout le monde le dit? Comment pouvez-vous savoir si vous êtes affecté? Voici un bref aperçu des principaux problèmes entourant Heartbleed et de ce que vous pouvez y faire.
Qu'est-ce que Heartbleed?
Heartbleed est un bogue qui affecte le service OpenSSL, qui est une bibliothèque cryptographique utilisée pour crypter des données sur plus des deux tiers de tous les sites Internet. Si vous avez déjà vu ce logo cadenas verrouillé dans votre navigateur, ou visité un site en utilisant le protocole https: alors vous êtes familier avec OpenSSL.
Le bug Heartbleed expose les données contenues dans la RAM d'un serveur, ce qui signifie que tout le monde a accès à, et peut snoop sur le trafic Internet, même lorsqu'il est censé être crypté.
Interlopers, le cas échéant, pourrait tirer parti de Heartbleed pour obtenir les clés et les données dont ils auraient besoin pour déchiffrer et lire toutes les données cryptées qui ont récemment traversé un serveur.
C'est un problème?
Étant donné que plus des deux tiers des sites Web et des services sur Internet utilisent OpenSSL, oui, Heartbleed est un problème majeur . Cependant, il est important de garder à l'esprit que Heartbleed n'est pas un logiciel malveillant ou un virus, et donc, un site affecté par Heartbleed n'a pas nécessairement eu des données volées. Et il a été autour, non détecté, depuis 2012.
Pratiquement toutes les formes d'informations personnelles cryptées sont vulnérables à Heartbleed. Tant qu'il passe par le protocole OpenSSL, quelqu'un aurait pu y accéder illégitimement. Mots de passe, e-mails, noms d'utilisateur, communications - vous l'appelez, il est probablement accessible sous une forme ou une autre à cause de Heartbleed.
Donc, oui, c'est un problème.
Comment savoir si vous êtes touché
Bien qu'il soit vrai que tous les services n'ont pas été affectés par Heartbleed, il vaut mieux prévenir que guérir . Bien que vous ne puissiez pas savoir avec certitude si vos propres données ont été compromises, il existe quelques services qui peuvent vous aider à vérifier si vous êtes concerné par Heartbleed.
Test de Filippo Heartbleed
Ce test Heartbleed envoie des pulsations malformées sur le site web de votre choix, en extrayant environ 80 octets de mémoire comme preuve. En d'autres termes, le test attaque le site à la manière d'un hacker, pour tester si le site est vulnérable à Heartbleed.
LastPass Heartbleed Checker
L'équipe LastPass a également mis en place un outil pour vérifier les sites affectés. Tout ce que vous avez à faire est de taper dans le domaine du site Web que vous voulez vérifier, puis cliquez sur Voir si le site est vulnérable à Heartbleed .
Que faire si vous êtes affecté
Si, à partir des chèques, vous avez constaté que vous avez un compte sur un site qui pourrait être compromis par Heartbleed, vous devez décider d'un plan d'action. La sagesse commune est de changer immédiatement votre mot de passe, mais ce conseil ignore un fait crucial: il est inutile de changer les mots de passe si le site n'a pas été corrigé .
Heartbleed, comme discuté précédemment, n'est pas une simple fuite de la base de données, donc simplement changer vos mots de passe n'aidera pas si le problème n'a pas été résolu par le site . Certains sites Web et services, tels que Google, l'auront clairement indiqué, mais certains sites Web ne préciseront pas explicitement s'ils ont rectifié le problème de leur côté.
Ce que vous pouvez faire maintenant est d' utiliser l'un des deux outils listés ci-dessus, ou de vérifier le site sur les listes GitHub ou Mashable pour voir si le service est toujours vulnérable.
Notez que les deux outils et la liste GitHub ne font pas la différence entre les services qui n'ont jamais été vulnérables et les services qui ont été corrigés. Il est probablement plus sûr de changer vos mots de passe si le site signale qu'il n'est pas vulnérable .
Le simple fait de faire une pause dans les services concernés peut également aider, puisque Heartbleed n'expose que les données contenues dans la RAM d'un serveur.
Mot de passe
Alors que Heartbleed va au - delà d'un simple problème de sécurité par mot de passe, c'est toujours le bon moment pour nous rappeler quelques-unes des meilleures façons d'assurer la sécurité des comptes en ligne. Oui, la sécurité par mot de passe ne se limite pas à la simple modification de votre mot de passe tous les quelques mois.
Bien que l' authentification à deux facteurs ne vous protège pas nécessairement de Heartbleed, il s'agit toujours d'une mesure de sécurité formidable dont vous devez absolument profiter sur les services qui la prennent en charge.
Si vous n'êtes pas familier, l'authentification à deux facteurs est un moyen de vérifier l'identité d'un utilisateur sur la base de deux étapes au lieu d'une . En d'autres termes, au lieu de simplement demander un nom d'utilisateur et un mot de passe, l'authentification à deux facteurs nécessite également de saisir un code de vérification ou d' utiliser une application pour smartphone afin de vérifier votre identité.
Une autre mesure de sécurité que vous devriez probablement prendre est d'utiliser des outils pour générer et gérer les mots de passe pour vous. Le principal avantage de ces outils est le fait qu'ils vont créer des mots de passe aléatoires et les gérer pour vous; Plus besoin de mémoriser une tonne de mots de passe différents ou, pire encore, d'utiliser le même mot de passe sur plusieurs sites Web.
Conclusion
Heartbleed est un grave problème de sécurité qui affecte presque tout le monde sur Internet, et il n'y a pas grand-chose que nous puissions faire à ce sujet. Au-delà de vérifier les services que nous utilisons et de changer nos mots de passe s'ils ont corrigé la faille, ou de faire une pause et de rester vigilants s'ils ne l'ont pas fait, tout est entre les mains des administrateurs du serveur. Heartbleed nous rappelle que nous ne pouvons jamais prendre pour acquis la sécurité de nos données personnelles .
Comment créer un blog avec Jekyll - Guide du débutant
WordPress, qui a débuté humblement comme une plateforme de blogs, s'est maintenant transformé en un CMS à part entière et très populaire. Avec WordPress, vous pouvez créer (presque) n'importe quel type de site Web, d'un portefeuille à un site Web de commerce électronique.Mais que se passe-t-il si vous ne vous souciez que des blogs, et que vous n'avez pas besoin de fonctionnalités complètes dans WordPress comme la taxonomie personnalisée, la gestion des utilisateurs, la modération des commentaires et une bonne mise en ligne?En bref, vou
Il y a une nouvelle façon de partager le mot de passe WiFi dans iOS 11 et vous l'aimerez
Avec la version bêta d'iOS 11 maintenant disponible, les gens découvrent certaines des nouvelles fonctionnalités du dernier système d'exploitation d'Apple que la société n'a pas mentionné lors de la keynote de la WWDC 2017.Alors qu'un curseur de volume plus petit et de nouveaux contrôles AirPod sont assez soignés, la fonctionnalité la plus intéressante qu'Apple a introduite avec iOS 11 est la possibilité de partager des mots de passe Wi-Fi avec d'autres appareils .D'abord