La dernière fois nous vous avons alerté d'une faille de sécurité majeure C'était lorsque la base de données de mots de passe d'Adobe a été compromise, mettant en danger des millions d'utilisateurs (en particulier ceux dont les mots de passe sont faibles et fréquemment réutilisés). Aujourd'hui, nous vous signalons un problème de sécurité beaucoup plus important, le bogue Heartbleed, qui a potentiellement compromis un nombre impressionnant de 2/3 des sites Web sécurisés sur Internet. Vous devez changer vos mots de passe et vous devez commencer à le faire maintenant.
Remarque importante: How-To Geek n'est pas affecté par ce bogue.
Qu'est-ce que Heartbleed et pourquoi est-ce si dangereux?
Dans votre faille de sécurité typique, les enregistrements / mots de passe utilisateur d'une seule entreprise sont exposés. C’est horrible quand ça arrive, mais c’est une affaire isolée. L'entreprise X a une faille de sécurité, elle envoie un avertissement à ses utilisateurs et les gens comme nous rappellent à tout le monde qu'il est temps de commencer à pratiquer une bonne hygiène de sécurité et de mettre à jour leurs mots de passe. Malheureusement, ces violations typiques sont déjà suffisamment graves. Le bug Heartbleed est quelque chose de beaucoup beaucoup, pire.
Le bogue Heartbleed sape le schéma de cryptage même qui nous protège lorsque nous envoyons des e-mails, effectuons des transactions bancaires et interagissons avec des sites Web que nous pensons sécurisés. Voici une description en clair de la vulnérabilité de Codenomicon, le groupe de sécurité qui a découvert et alerté le public du bogue:
Le bogue Heartbleed est une vulnérabilité sérieuse dans la populaire bibliothèque de logiciels cryptographiques OpenSSL. Cette faiblesse permet de voler les informations protégées, dans des conditions normales, par le cryptage SSL / TLS utilisé pour sécuriser Internet. SSL / TLS assure la sécurité des communications et la confidentialité sur Internet pour des applications telles que le Web, la messagerie électronique, la messagerie instantanée (IM) et certains réseaux privés virtuels (VPN).
Le bug Heartbleed permet à n'importe qui sur Internet de lire la mémoire des systèmes protégés par les versions vulnérables du logiciel OpenSSL. Cela compromet les clés secrètes utilisées pour identifier les fournisseurs de services et pour crypter le trafic, les noms et mots de passe des utilisateurs et le contenu réel. Cela permet aux attaquants d'écouter les communications, de voler des données directement auprès des services et des utilisateurs et de se faire passer pour des services et des utilisateurs.
Cela semble assez mauvais, oui? Cela semble encore pire lorsque vous réalisez qu'environ les deux tiers de tous les sites Web utilisant SSL utilisent cette version vulnérable d'OpenSSL. Nous ne parlons pas de petits sites comme les forums hot rod ou les sites d'échange de jeux de cartes à collectionner, nous parlons des banques, des sociétés de cartes de crédit, des principaux e-commerçants et des fournisseurs de messagerie. Pire encore, cette vulnérabilité est à l'état sauvage depuis environ deux ans. Cela fait deux ans qu'une personne possédant les connaissances et les compétences appropriées aurait pu puiser dans les informations de connexion et les communications privées d'un service que vous utilisez (et, selon les tests menés par Codenomicon, le faire sans laisser de trace).
Pour une meilleure illustration du fonctionnement du bug Heartbleed. lis ça xkcd bande dessinée.
Bien qu'aucun groupe ne se soit présenté pour afficher toutes les informations d'identification et les informations qu'ils ont siphonnées avec l'exploit, à ce stade du jeu, vous devez supposer que les informations de connexion pour les sites Web que vous fréquentez ont été compromises.
Que faire après un bogue Heartbleed
Toute faille de sécurité majoritaire (et cela se qualifie certainement à grande échelle) vous oblige à évaluer vos pratiques de gestion des mots de passe. Compte tenu de la large portée du bogue Heartbleed, c'est une occasion idéale de passer en revue un système de gestion des mots de passe qui fonctionne déjà bien ou, si vous avez traîné les pieds, d'en créer un.
Avant de vous lancer dans la modification immédiate de vos mots de passe, sachez que la vulnérabilité n'est corrigée que si l'entreprise a mis à niveau vers la nouvelle version d'OpenSSL. L'histoire a éclaté lundi, et si vous vous précipitiez pour changer immédiatement vos mots de passe sur chaque site, la plupart d'entre eux auraient toujours utilisé la version vulnérable d'OpenSSL.
EN RELATION: Comment exécuter un audit de sécurité de dernier passage (et pourquoi il ne peut pas attendre)
Désormais, en milieu de semaine, la plupart des sites ont commencé le processus de mise à jour et d’ici le week-end, il est raisonnable de supposer que la majorité des sites Web de haut niveau auront basculé.
Vous pouvez utiliser le Vérificateur de bogues Heartbleed ici pour voir si la vulnérabilité est toujours ouverte ou, même si le site ne répond pas aux demandes du vérificateur susmentionné, vous pouvez utiliser Vérificateur de date SSL de LastPass pour voir si le serveur en question a récemment mis à jour son certificat SSL (s'il l'a mis à jour après le 07/04/2014, c'est un bon indicateur qu'il a corrigé la vulnérabilité.) Note: si vous exécutez howtogeek.com via le vérificateur de bogues, il renverra une erreur car nous n'utilisons pas le cryptage SSL en premier lieu, et nous avons également vérifié que nos serveurs n'exécutent aucun logiciel affecté.
Cela dit, il semble que ce week-end s'annonce comme un bon week-end pour prendre au sérieux la mise à jour de vos mots de passe. Tout d'abord, vous avez besoin d'un système de gestion des mots de passe. Check-out notre guide pour démarrer avec LastPass pour configurer l'une des options de gestion des mots de passe les plus sûres et les plus flexibles. Vous n'êtes pas obligé d'utiliser LastPass, mais vous avez besoin d'un système en place qui vous permettra de suivre et de gérer un mot de passe unique et fort pour chaque site Web que vous visitez.
Deuxièmement, vous devez commencer à changer vos mots de passe. Le plan de gestion de crise dans notre guide, Comment récupérer une fois que votre mot de passe de messagerie est compromis , est un excellent moyen de vous assurer de ne manquer aucun mot de passe; il met également en évidence les bases d'une bonne hygiène des mots de passe, cités ici:
- Les mots de passe doivent toujours être plus longs que le minimum autorisé par le service . Si le service en question autorise des mots de passe de 6 à 20 caractères, choisissez le mot de passe le plus long dont vous vous souviendrez.
- N'utilisez pas de mots du dictionnaire dans votre mot de passe . Votre mot de passe doit jamais être si simple qu’une analyse rapide avec un fichier de dictionnaire le révélerait. N'incluez jamais votre nom, une partie de la connexion ou de l'e-mail, ou d'autres éléments facilement identifiables comme le nom de votre entreprise ou le nom de votre rue. Évitez également d'utiliser des combinaisons de clavier courantes comme «qwerty» ou «asdf» dans le cadre de votre mot de passe.
- Utilisez des mots de passe plutôt que des mots de passe . Si vous n'utilisez pas de gestionnaire de mots de passe pour mémoriser des mots de passe vraiment aléatoires (oui, nous réalisons que nous tenons vraiment à utiliser un gestionnaire de mots de passe), vous pouvez vous souvenir de mots de passe plus forts en les transformant en phrases de passe. Pour votre compte Amazon, par exemple, vous pouvez créer la phrase secrète facilement mémorisable «J'adore lire des livres», puis la transformer en un mot de passe comme «! Luv2ReadBkz». C'est facile à retenir et c'est assez fort.
Troisièmement, dans la mesure du possible, vous souhaitez activer l'authentification à deux facteurs. Vous pouvez en savoir plus sur l'authentification à deux facteurs ici , mais en bref, cela vous permet d'ajouter une couche d'identification supplémentaire à votre connexion.
EN RELATION: Qu'est-ce que l'authentification à deux facteurs et pourquoi en ai-je besoin?
Avec Gmail, par exemple, l'authentification à deux facteurs nécessite non seulement votre identifiant et votre mot de passe, mais également l'accès au téléphone portable enregistré sur votre compte Gmail afin que vous puissiez accepter un code de message texte à saisir lorsque vous vous connectez à partir d'un nouvel ordinateur.
Avec l'authentification à deux facteurs activée, il est très difficile pour quelqu'un qui a obtenu l'accès à votre identifiant et à votre mot de passe (comme ils le pourraient avec le bogue Heartbleed) d'accéder réellement à votre compte.
Les vulnérabilités de sécurité, en particulier celles qui ont des implications aussi importantes, ne sont jamais amusantes, mais elles nous offrent l'occasion de resserrer nos pratiques en matière de mots de passe et de garantir que les mots de passe uniques et forts maintiennent les dommages, lorsqu'ils se produisent, contenus.
