Heartbleed: Protégez vos données sur le web, changez de mot de passe

Décrite comme « le pire cauchemar d’internet » à propos de la sécurité des échanges sur la toile, la faille de sécurité au sein du protocole OpenSSL, appelée « Heartbleed » a été annoncée il y a deux jours et affole les internautes.

Le logiciel OpenSSL est présent sur les serveurs d’une multitude de sites afin d’établir des connexions chiffrées et sécurisées entre le serveur et les utilisateurs. Tous les sites sécurisés comportant un URL commençant par « https » (le S indiquant SSL) l’utilisent.

L’origine de Heartbleed provient d’une erreur de programmation d’un développeur allemand. Ce bug permet à des pirates informatiques de récupérer un grand nombre de données privées des utilisateurs de ces sites qui utilisent OpenSSL. Des informations importantes comme des identifiants, des mots de passes ou encore des codes de cartes bancaires peuvent ainsi être utilisés par les hackers. 

Concrètement, il est encore impossible de connaître l’ampleur des dégâts causé par cette faille car personne n’est en mesure de savoir si les pirates se sont rendus compte du bug avant son identification par des ingénieurs qui ont lancé une alerte mondiale le 7 avril dernier. Le message de prévention indiquait que le bug est présent sur toutes les versions d’OpenSSL sorties depuis mars 2012 et soulignait aussi le fait que son exploitation nuisible par les hackers ne laisse aucune trace.

Beaucoup de sites ont immédiatement voulu faire barrière à ce bug dangereux pour la sécurité des données des utilisateurs en effectuant les mises à jour nécessaires pour combler la faille. Les internautes peuvent désormais changer leurs identifiants et leurs mots de passe afin de préserver durablement leurs comptes des pirates mal intentionnés. Cette démarche permet de s’assurer que personne ne puisse se servir des données, peut être déjà obtenues par l’exploitation du bug des hackers entre mars 2012 et le 7 avril 2014.

Un expert de l’informatique, spécialiste de la sécurité sur le web de la BBC, conseille de suivre cette démarche. « Si des personnes se sont identifiées sur un de ces services pendant un moment où il était vulnérable, il y a un risque pour que le mot de passe ait été récolté. C’est une bonne idée de changer ses mots de passe sur tous les portails qui ont fait la mise à jour d’OpenSSL », explique-t-il.

 La liste des grands sites mis à jour

La majeure partie des sites de forte fréquentation a immédiatement voulu faire barrière au bug Heartbleed. Une fois mis à jour, ces célèbres surfaces web ont insisté sur l’importance de changer ses codes contres des mots de passe relativement compliqués et radicalement différents des anciens utilisés. 

–       Facebook : « Nous avons protégé notre protocole OpenSSL avant que le problème ne soit rendu public (grâce à des informations partagées par des ingénieurs de Google travaillant sur OpenSSL). Nous n’avons pas détecté d’activités suspectes sur des comptes Facebook liées à ce bug. Néanmoins, nous encourageons les utilisateurs de profiter de ce moment pour mettre en place un nouveau mot de passe unique pour Facebook. »
–       Google et ses applications (Gmail, Youtube, Play…) : « Nous avons évalué la vulnérabilité d’OpenSSL et avons décidé d’appliquer un patch de sécurité aux services-clés de Google, comme la recherche, Gmail, YouTube, Wallet, Play, Apps, et App Engine. »
–       Yahoo et ses services (Yahoo Mail, Tumblr, Flickr) : « les corrections appropriées ont été apportées à tout le portail. »
–       Airbnb et Netflix : les deux sites ont été mis à jour dès la publication de l’alerte.
–       Dropbox : Tous les services de stockage ont également été actualisés.
–       Pinterest : « Nous avons réparé le problème sur Pinterest.com et n’avons trouvé aucune preuve de fraude. Néanmoins, pour être prudent, nous avons envoyé à des utilisateurs qui auraient pu être concerné des e-mails pour qu’ils changent leurs mots de passe. »
–       Instagram : « Nos équipes de sécurité ont travaillé rapidement pour réparer le problème, et nous n’avons pas trouvé de preuves comme quoi un compte utilisateur avait été affecté. Mais, puisque cet événement a un impact sur de nombreux services, nous recommandons que vous changiez votre mot de passe sur Instagram, particulièrement si vous utilisez le même sur d’autres sites. »
–       Twitter : « ses serveurs et ses API n’ont pas été affectés par la vulnérabilité », mais le site a tout de même mis à jour ses protocoles SSL.
–       IFTTT, Minecraft, OKCupid et Souncloud sont également débarrassés du bug.

Cette liste peut être mise à jour, des services sont actuellement en cours de mise à jour comme WordPress notamment.