HeartBleed: se protéger contre cette faille d'OpenSSL

SUIS-JE TOUCHÉ PAR CETTE FAILLE DE SÉCURITÉ?
Oui. Tous les utilisateurs d'internet sont touchés indirectement.
par contre, ça ne signifie pas que vos sites personnels sont à risque en tant que tel.

DANGER INDIRECT: Tous ceux qui utilisent des sites tiers ayant été à risque comme: Facebook, Gmail, Yahoo, DropBox, des sites marchand, des distributeurs, des sites commerciaux et même des institution bancaires, des portails gouvernementaux, etc. (donc possiblement tous le monde) [VOIR LA LISTE COMPLETE] surtout si vous avez créé un compte sur l'un de ces sites ou avez partagés des informations sensibles. Vous êtes donc tous à risque qu'un pirate ait mis la main sur votre adresse courriel et/ou sur votre mot de passe chez l'un ou lautre des sites tiers. Si par exemple votre nom d'utilisateur Facebook (qui est votre e-mail) et le mot de passe correspondant avaient été trouvés, un pirate pourrait non seulement accéder à votre Compte Facebook mais pourrait aussi tenter d'accéder à vos courriels en utilisant le mot de passe de Facebook sur votre Gmail par exemple (pour autant que le mot de passe se ressemble). De là, une personne ou un groupe mal intentionné pourrait, en quelque sorte, prendre le contrôle de votre vie en accédant à vos données bancaires, sensibles et même commettre des gestes illégaux sous votre nom. 
Nous recommandons donc à tous le monde, de changer immédiatement l'ensemble des mots de passe que vous utilisez sur Internet, sur les sites tiers, mais aussi chez nous et dans vos comptes courriels. Ce travail est certes fastidieux mais nécessaire devant l'une des plus grandes failles de sécurité jamais découverte à ce jour. 

DANGER DIRECT: Tous ceux qui possèdent un site utilisant OpenSSL devrait vérifier dès maintenant si leur site est a risque en utilisant ce lien: http://filippo.io/Heartbleed/

QU'EST-CE QUE OPENSSL ?
OpenSSL est un logiciel (ou un ensemble d'outil) libre (opensource) servant à l'encryption de données de centaines de millions de sites Web dans le monde.
Les données de plusieurs grand serveurs (notament yahoo et Facebook) utilisent entre autre OpenSSL en conjonction avec le protocole de sécurité SSL/TLS.
Ce protocole de sécurité est celui-là même qui est défini par les certificats de sécurité SSL (et leur protocole HTTPS).

QUEST-CE PLUS CONCRÈTEMENT LA FAILLE HEARTBLEED?
HeartBleed est une faille glissée dans les librairies d'OpenSSL des version 1.0.1 et 1.0.2 qui originerait possiblement d'une erreure de programmation d'un programmeur allemand.
Cette faille permettrait à des utilisateurs mal intentionnés ou des pirates de récupérer facilement, à travers la mémoire d'un serveur, des données sensibles comme des mots de passes mais aussi les clés privés des serveurs TLS (ce qui pourrait permettre d'accéder au système d'encryption).

J'AI UN SITE QUI UTILISE UN CERTIFICAT SSL, COMMENT VÉRIFIER SI JE SUIS À RISQUE?
Testez votre site sans plus attendre en consultant cet outil: http://filippo.io/Heartbleed/.


J'AI UN SERVEUR  À RISQUE UTILISANT OPENSSL, QUOI FAIRE?
Vous pouvez mettre à jour votre OpenSSL en utilisant le Patch de sécurité disponible ici: http://www.openssl.org/source/

FAUT-IL ARRËTER D'UTILISER DES CERTIFICATS SSL (HTTPS)?
NON! Si la faille permet à un petit nombre d'individus futés d'utiliser une faille, il faut savoir que sans certificat, les données sons transmises "en clair", c'est à dire que quelqu'un "écoutant" sur le réseau pourrait tout simplement voir textuellement les données qui sont transmises par vos utilisateurs et vos clients. Le certificat SSL demeure la seule façon viable de sécuriser la transmission des données de vos sites, pour peu que la faille soit corrigée sur les serveurs en cause.
Évidemment sur un site à risque, la désactivation du site jusqu'à ce que la faille soit corrigée s'avèrerait une façon sécuritaire d'éviter le pire.

JIMBOULAY.NET EST-IL À RISQUE?
NON! Le Serveur Jimboulay.net n'est pas à risque et les données de nos clients sont en sécurité. Toutefois, comme d'autres sites que vous fréquentez ont pu donner à des pirates des informations vous concernant, nous vous recommandont de changer tous vos mots de passe, y compris votre compte sur notre Espace Client et l'ensemble des mots de passe de vos sites incluant vos comptes courriel et FTP.

En espérant que ces informations puissent vous aider. Pour plus de détails, contactez-nous ou consultez le site officiel: http://heartbleed.com

Cette réponse était-elle pertinente?

 Imprimer cet article

Consultez aussi

iDNS, DROC: Attention au courrier frauduleux

Comme vous le savez, les entreprises frauduleuses sont très présentes sur le web et usent de tous...

Choisir un mot de passe sécuritaire

Qu'il s'agisse de vous authentifier sur votre ordinateur, votre compte courriel ou pour...