Si vous avez un compte sur Yahoo mail, Gmail, Instagram, Netflix ou une variété d’autres sites Web, vous avez peut-être été affecté par le bogue de sécurité HeartBleed SSL. HeartBleed vient d’être rendu public la semaine dernière et est rapidement corrigé, mais il représente une vulnérabilité de sécurité SSL qui a pu exister et être exploitée par des pirates informatiques au cours des deux dernières années. Je viens de lire deux excellents articles sur Heartbleed, que j’ai résumés et ajoutés ici, et un lien vers le bas de cet article.
Tout d’abord, qu’est-ce que SSL ? C’est comme LOL ?
SSL signifie Secure Sockets Layer, mais la plupart des internautes le reconnaissent probablement comme le cadenas dans la barre d’adresse de notre navigateur et/ou une URL de site Web commençant par « https » au lieu de « http ». SSL crypte les données que nous envoyons vers et depuis un site Web, afin que les pirates ne puissent pas les lire. Heartbleed est un bogue dans le processus SSL qui a été découvert par un expert en sécurité de Google la semaine dernière. Il affecte OpenSSL, un programme populaire utilisé pour exécuter la sécurité SSL sur de nombreux sites Web. Saignement de cœur Affecte UNIQUEMENT le programme OpenSSL, de sorte que les sites Web qui utilisent un programme SSL différent ne sont pas affectés. Plus important encore, la façon dont HeartBleed fonctionne est qu’une faille dans le programme OpenSSL permet à un pirate de lire la transmission de données sécurisée pendant qu’il est stocké dans la mémoire temporaire, et uniquement s’il s’agit de mémoire temporaire. Les pirates ne peuvent pas voler toutes les données du site Web… ils ne peuvent récupérer les transmissions de données que lorsqu’elles sont stockées dans une mémoire temporaire. Ainsi, si vous utilisiez un site Internet en mode SSL sécurisé alors qu’un hacker espionnait, il aurait pu voler vos informations. Mais il est important de se rappeler qu’il ne s’agit que des données car elles sont temporairement stockées dans une mémoire temporaire, et non de la base de données complète du site Web. De plus, bien que les experts en sécurité pensent que cette vulnérabilité peut exister depuis jusqu’à deux ans, il n’est pas clair si elle a été exploitée par des pirates et/ou dans quelle mesure.
Quels sites Web ont été touchés ?
Selon Mashable, la liste des sites Web utilisant OpenSSL est importante et comprend Instagram, Pinterest, Tumblr, Google, Yahoo, Gmail, Yahoo Mail, GoDaddy, Flickr, Netflix, YouTube et Dropbox. La bonne nouvelle est que Mashable répertorie de nombreuses banques, et aucune des banques n’a été touchée par Heartbleed. De plus, tous les sites Web populaires répertoriés ci-dessus ont maintenant corrigé leur sécurité SSL, mais BEAUCOUP de sites Web utilisent OpenSSL.
Que devrais tu faire?
Vous devez comprendre comment fonctionne Heartbleed, quels sites Web ont été affectés et comment cela pourrait vous affecter. Il est plus que probable que les sites Web concernés enverront par e-mail à leurs clients des instructions supplémentaires. Il est important de vous assurer que tout site Web (s’il utilise OpenSSL) que vous utilisez en mode SSL sécurisé a corrigé ou corrigé son serveur avant de continuer à utiliser son service, et vous devez lui demander si vous devez changer votre mot de passe.
Et nous, les webmasters avec des boutiques en ligne sécurisées ?
J’ai entendu parler de Heartbleed pour la première fois la semaine dernière car nous avons une boutique en ligne qui utilise SSL. Notre fournisseur SSL nous a informés que nous risquons de courir un risque, mais a expliqué que le problème ne venait pas de leur certificat SSL, mais de notre hébergeur et dépendait de l’utilisation ou non d’OpenSSL par notre hébergeur. Notre fournisseur SSL a fourni le lien suivant pour vérifier si notre site Web était vulnérable. Dans notre cas, notre magasin n’a pas été affecté. Mais si vous avez un site Web qui utilise SSL, si vous ne l’avez pas déjà vérifié, vous devriez utilisez ce lien pour voir si votre site Web est affecté, et si votre hébergeur utilise OpenSSL, vous devez vous assurer qu’il l’a corrigé ou corrigé, ou le faire immédiatement :
https://ssltools.geotrust.com/checker/views/certCheck.jsp
De même, si vous effectuez une commande en ligne ou toute autre activité Web nécessitant la sécurité SSL, vérifiez d’abord le site Web que vous utilisez sur le lien ci-dessus pour voir s’il a été compromis par le bogue Heartbleed.
Pour plus d’informations, je vous recommande vivement de lire ces deux articles :
http://www.realcleartechnology.com/articles/2014/04/11/should_you_change_your_password_after_heartbleed_1081.html
http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/
