Vous avez peut-être pensé que ce petit cadenas dans la barre d'adresse de votre navigateur signifiait que vous étiez en sécurité. Que votre connexion Web était cryptée et que vous pouviez fournir en toute sécurité des noms d'utilisateur, mots de passe, numéros de carte de crédit, etc..

Mais il est temps de réfléchir à nouveau.

Le bogue Heartbleed, récemment découvert, pourrait permettre aux attaquants de lire la mémoire d'un serveur Web apparemment protégé, en leur donnant potentiellement accès aux noms d'utilisateur, mots de passe, informations de carte de crédit et autres actions en cours sur ce site..

Et si vous pensez que c'est mauvais, Heartbleed laisse vos données confidentielles ouvertes aux attaques depuis plus de deux ans. Qu'est-ce que ça veut dire? Voici tout ce que vous devez savoir.

1. Qu'est-ce que Heartbleed??

C'est une grave vulnérabilité d'OpenSSL, une bibliothèque populaire utilisée pour chiffrer et sécuriser diverses connexions Web, de messagerie et autres..

En faisant passer une valeur incorrecte à une extension OpenSSL, un attaquant peut lire jusqu'à 64 Ko de la mémoire de l'hôte. Le processus peut être répété pour lire plus de RAM, exposer des noms, des mots de passe, du contenu et toute autre donnée: vous n'avez aucune protection..

2. Quelle est son étendue?

La bonne nouvelle: ce n’est pas un problème fondamental avec la technologie SSL / TLS de base. Il s'agit d'un bogue spécifique dans une implémentation, OpenSSL version 1.0.1, publiée le 14 mars 2012, qui a été corrigé dans OpenSSL 1.0.1g le 7 avril 2014..

La mauvaise nouvelle: OpenSSL est la bibliothèque de chiffrement standard utilisée par Apache et nginx, les deux serveurs Web les plus utilisés, assurant la protection de plus de 70% des sites les plus fréquentés du Web..

Ce n’est pas seulement une question de savoir si vous êtes en sécurité sur un site de grande envergure: la plupart des entreprises auront été vulnérables.

3. Quelqu'un a-t-il utilisé Heartbleed lors d'une attaque??

L'exploit a été découvert indépendamment par des chercheurs de Google et de la société de sécurité finlandaise Codenomicon, et non par une surveillance de l'activité des hackers. Il n'y a donc aucune preuve qu'il a été utilisé dans la vie réelle..

Le problème est que l'attaque ne laisse aucune trace, cependant, aucune trace dans les journaux, il n'y a donc aucun moyen d'en être sûr. Vous devez supposer que tout ce que vous pensez avoir communiqué de manière sécurisée au cours des deux dernières années pourrait avoir été compromis.

4. Les sites Web sont-ils sûrs maintenant??

Peut être. Le bogue a été corrigé dans OpenSSL 1.0.1g, publié le 7 avril. Mais cela ne veut pas dire grand chose, car les sites Web doivent d'abord installer la mise à jour, puis redémarrer (ou redémarrer plusieurs services), ce qui signifie que cela ne se produira probablement pas automatiquement..

Les grands sites, ou ceux qui sont gérés activement, devraient être corrigés maintenant. Mais d'autres peuvent rester vulnérables beaucoup, beaucoup plus longtemps.

5. Puis-je consulter un site pour le bogue Heartbleed?

Oui. Il existe une page de test Heartbleed spécifique et Qualys a ajouté la vérification Heartbleed à son test de serveur SSL. Dans les deux cas, entrez simplement le nom d'hôte de n'importe quel serveur qui vous inquiète, cliquez sur le bouton "Go" / "Submit" et attendez le verdict..

Attention, avec le tapage actuel, les deux pages reçoivent beaucoup de trafic et nous avons constaté qu'elles nous refusaient parfois l'accès. Si vous avez des problèmes, réessayez plus tard.

6. Comment puis-je protéger mon propre site?

Si vous avez votre propre site Web et que les tests montrent qu'il est vulnérable, vous devez le faire réparer. À présent.

Si vous avez un serveur que vous gérez vous-même, vous devez passer à OpenSSL version 1.0.1g..

Cela peut ne pas être trop difficile. Par exemple, avec WHM / cPanel, vous pouvez utiliser l'option "Mettre à niveau vers la dernière version, puis choisir" Services de redémarrage ">" Serveur HTTP (Apache) ", en cliquant sur" Forcer une réinstallation même si le système est à jour ". avez terminé, exécutez ensuite le test Heartbleed sur votre site pour confirmer tout changement..

Si votre hébergeur s’occupe de ce genre de choses, vous devrez toutefois les contacter pour obtenir des conseils. Certains hôtes mettent à jour les serveurs au fur et à mesure que nous écrivons (le 9 avril), d’autres ne démarrent pas avant demain, d’autres peuvent laisser le choix au client. Parlez-leur et découvrez.

7. Que dois-je faire en tant qu'utilisateur Internet??

Changer tous vos mots de passe.

Oui, nous savons que c'est un problème. Mais Heartbleed signifie que tous vos identifiants de connexion peuvent avoir été exposés au monde extérieur. Bien sûr, vous "pourriez" être en sécurité, mais pourquoi prendre le risque? Changez les maintenant.

En outre, réfléchissez-y à deux fois avant d'utiliser une connexion apparemment sécurisée pour les prochains jours, à moins que des tests ne montrent que l'entreprise n'est plus vulnérable. Nous sommes actuellement dans une période très dangereuse, car Heartbleed a été exposé à ceux qui veulent l'exploiter avant que tous les correctifs soient en place: il est préférable de faire très attention..

  • Quelque chose d'autre à faire paranoïa: Pourquoi votre code PIN de smartphone n'est-il pas aussi sûr que vous le pensez