Une faille importante qui porte le nom de Heartbleed a été découverte. Quel est exactement l’impact de cette faille sur les sites web ? Les internautes doivent-ils s’inquiéter, quelles mesures prendre pour se protéger ?
L’internet est inquiet. Une faille de grande envergure qui concerne de nombreux sites web a été découverte et dévoilée avant que les sites concernés n’aient eu tous le temps de mettre à jour leurs logiciels et combler la faille. Qui est concerné et comment se protéger ?
La faille est nommée Heartbleed (« coeur qui saigne »), car cela concerne un logiciel présent sur les ordinateurs qui gèrent les sites internet : les serveurs. Ces ordinateurs vous répondent à chaque fois que vous contactez un site web, et vous interagissez avec eux lorsque vous cliquez sur un lien, affichez une page mais aussi lorsque vous vous connectez à un compte en ligne ou par exemple lorsque vous effectuez un paiement sur internet.
Cette brèche de sécurité permet d’intercepter tous les échanges, y compris les plus sensibles : identifiants, mots de passe, numéros de cartes bancaires et tout ce qui est normalement protégé par un chiffrement (brouillage). Habituellement, la présence d’un cadenas dans la barre d’adresse de votre navigateur est un signe rassurant, mais, si l’on en croit les experts en sécurité, avec la découverte de cette faille, elle ne garantit plus que les échanges sont confidentiels.
Quels sont les sites concernés ?
Selon le site mis en place pour parler de la faille Heartbleed, 66% des sites peuvent être potentiellement touchés. En réalité, le nombre est inférieur et diminue de minute en minute au fur et à mesure que les administrateurs des serveurs mettent en place les correctifs permettant de combler la faille.
Toutefois, il ne faut pas s’attendre à ce que la faille disparaisse complètement de façon rapide. Si les grosses organisations avec des services techniques sont déjà tous au courant, les propriétaires de petits serveurs qui administrent de façon artisanale leur site pourraient traîner des pieds pour faire le nécessaire, par manque d’informations ou de moyens. D’autre part, certains services abandonnés par leurs administrateurs mais toujours utilisés pourraient rester longtemps impactés par le problème.
Doit-on changer tous les mots de passe ?
Non seulement pour la plupart d’entre-nous cette opération demanderait un temps fou, mais au jour d’aujourd’hui elle serait inutile, voire dangereuse. Si le web panique c’est que la mise à jour de tous les serveurs concernés va prendre un peu de temps et que ce n’est pas le seul paramètre qui rentre en compte. Les propriétaires de ces serveurs qui hébergent les sites web doivent aussi être informés et décider de faire la mise à jour qui comble la faille.
Inutile donc de se précipiter pour changer ses mots de passe dans l’immédiat, mais il est possible de sécuriser certains de ses comptes les plus sensibles en deux étapes. Il faut tout d’abord vérifier si le site des services que l’on utilise sont encore vulnérables à la faille grâce à la page dédiée suivante :
>>>ICI<<<
Comme le montre l’image ci-dessous (le site www.cic.fr a été testé), un seul résultat garantit que le site n’est pas concerné par la faille : « »All good, Example Domain seems not affected! ». Ce résultat ne garantit toutefois pas que vos comptes n’aient pas été piratés, il est impossible de le savoir, mais qu’ils ne le seront pas dans l’avenir par le biais de cette faille. C’est seulement dans ce cas qu’il sera utile de modifier le mot de passe.
De nombreux résultats renvoient toutefois une erreur « Uh-oh, something went wrong », ce qui veut dire que le site testé ne délivre pas l’information sur le type de sécurité utilisé. Impossible dans ce cas d’en déduire l’action à réaliser. Enfin, si le résultat s’affiche en rouge avec le texte « www.example.com IS VULNERABLE » comme cela a été le cas pour Yahoo pendant un temps, c’est que le serveur qui héberge le site est toujours vulnérable à la faille.
Aider et patienter en sécurité
Si vous avez trouvé un site vulnérable et qu’il s’agit d’un site web de petite envergure, vous pouvez, sans vous connecter au service, utiliser le formulaire de contact du site pour prévenir le webmaster. Pour les services les plus populaires, les correctifs sont probablement en cours d’application. Dans tous les cas, mieux vaut éviter d’utiliser un service vulnérable en attendant la mise en place des correctifs.
Dans les jours à venir, surveillez les emails envoyés par vos services en ligne, ils pourraient communiquer en vous expliquant la marche à suivre si des manipulations sont nécessaires dans vos comptes. Concernant les sites déjà sécurisés, après changement du mot de passe, vérifiez l’intégrité de vos informations ou que des mouvements suspects n’ont pas eu lieu sur vos comptes dans le cas de gestion de comptes bancaires en ligne.
viaFaille Heartbleed Doit-on s’inquiéter, quelles mesures prendre pour la sécurité de nos comptes ?.