Faille OpenSsL
Le changement de son mot de passe est conseille Afin de l’integralite des sites ayant annonce avoir fera une mise a jour de securite, apres la decouverte du bug qui affecte le protocole OpenSSL
Deux jours apres la revelation d’une faille de securite i l’interieur tuto sweet discreet du protocole OpenSSL, baptisee « Heartbleed », une telle derniere reste decrite par plusieurs comme « le pire cauchemar » qui puisse arriver pour la securite des echanges sur Internet.
Notre logiciel libre OpenSSL reste installe i propos des serveurs de tres nombreux sites Afin de etablir des connexions chiffrees et securisees entre ce dernier et ses utilisateurs. De tres nombreux sites Internet utilisent OpenSSL, reperable, entre autres, lorsqu’un verrou s’affiche au moment d’un paiement en ligne, ou Quand l’URL d’un site commence par « https » (le « s » signifiant SSL).
Le bug Heartbleed (dont l’origine se voit etre premonitoire de programmation d’un developpeur allemand) va permettre, en theorie, a des pirates informatiques de pouvoir recuperer un large panel d’informations sur les utilisateurs des sites utilisant votre protocole de securite (leurs identifiants et mots de marche, leurs codes de cartes bancaires, etc.).
L’ampleur des degats causes n’est jamais connue, personne n’ayant reussi a dire pour le moment si des pirates ont decouvert ce bug avant son identification par des ingenieurs et l’alerte mondiale lancee lundi 7 avril. Cette derniere precise que le bug reste present dans chacune des versions des logiciels OpenSSL sorties depuis mars 2012. Et que son exploitation par des individus en gali?re intentionnees ne laisse aucune trace.
De nombreux sites concernes par le souci ont, depuis l’annonce, dit avoir effectue la mise a jour important Afin de combler la faille de securite. Cela signifie que les utilisateurs des sites, dont les informations ont pu etre avant ceci accessibles a toutes les pirates en raison de Heartbleed, vont pouvoir desormais remplacer leurs identifiants et leurs mots de passe. Cela afin d’etre sur que personne ne puisse se servir des donnees qui auraient pu etre obtenues en exploitant le bug, entre mars 2012 et le 7 avril.
« Si des personnes se sont identifiees sur un de ces services pendant un moment ou il est vulnerable, il y a 1 risque afin que le mot de marche ait ete recolte. C’est une agreable idee de changer ses mots de marche concernant la totalite des portails ayant fait la mise a jour d’OpenSSL », assure 1 expert en securite informatique a J’ai BBC.
Parmi les sites ci-dessous, diverses ont d’ailleurs explicitement demande a leurs utilisateurs de mettre a jour leurs renseignements d’identification. D’autres ont seulement dit avoir comble la faille de securite, sans preciser s’il fallait ou non changer ses identifiants.
Puisque, de l’aveu meme des ingenieurs de Google ayant decouvert Heartbleed, « l’exploitation de ce bug [par des pirates] ne laisse aucune trace anormale » et est indetectable, nous vous conseillons de creer votre nouveau commentaire de marche (qui ne soit nullement « motdepasse » ou « 123456 ») pour l’integralite des sites ayant annonce avoir fera une mise a jour d’OpenSSL.
Selon la declaration du reseau social a Mashable : « Nous avons protege notre protocole OpenSSL avant que le probleme ne soit rendu public [grace a des renseignements partagees en direct avec des ingenieurs de Google travaillant concernant OpenSSL]. Nous n’avons nullement detecte d’activites suspectes sur des comptes Facebook liees a ce bug. Neanmoins, nous encourageons les utilisateurs de beneficier de i§a pour mettre en place un nouveau mot de marche unique concernant Facebook. »
Et plus precisement ses applications Gmail, YouTube, Wallet, Play. « Nous avons evalue la vulnerabilite d’OpenSSL et avons decide d’appliquer un patch de securite a toutes les services-cles de Google, comme la requi?te, Gmail, YouTube, Wallet, Play, Apps, et App Engine », declarent nos equipes de securite de Google via un blog.
Yahoo!
dont les services Yahoo Mail, Flickr et Tumblr paraissent concernes, dit que « nos corrections appropriees ont ete apportees a tout le portail ». Mes equipes de Tumblr poussent leurs utilisateurs a remplacer l’ensemble de leurs mots de passe concernant la totalite des sites Internet.
