Heartbleed a expliqué pourquoi vous devez changer vos mots de passe maintenant
La dernière fois que nous vous avons alerté sur une faille de sécurité majeure, c’est lorsque la base de données de mots de passe d’Adobe a été compromise, mettant ainsi en danger des millions d’utilisateurs (en particulier ceux dont les mots de passe sont faibles et fréquemment réutilisés). Aujourd'hui, nous vous mettons en garde contre un problème de sécurité beaucoup plus important, le bogue Heartbleed, qui a potentiellement compromis les deux tiers des sites Web sécurisés sur Internet. Vous devez modifier vos mots de passe et commencer à le faire maintenant..
Note importante: How-To Geek n'est pas affecté par ce bogue.
Qu'est-ce que Heartbleed et pourquoi est-il si dangereux??
Dans votre violation de sécurité typique, les enregistrements / mots de passe d'utilisateurs d'une seule entreprise sont exposés. C'est affreux quand cela arrive, mais c'est une affaire isolée. La société X a une violation de la sécurité, elle envoie un avertissement à ses utilisateurs et les personnes comme nous rappellent à tout le monde qu’il est temps de commencer à appliquer une bonne hygiène de sécurité et de mettre à jour leurs mots de passe. Malheureusement, ces violations typiques sont déjà assez graves. Le bug Heartbleed est quelque chose de beaucoup, beaucoup, pire.
Le bogue Heartbleed compromet le schéma de cryptage qui nous protège lorsque nous envoyons des e-mails, des transactions bancaires et que nous interagissons avec des sites Web que nous considérons comme sécurisés. Voici une description en anglais clair de la vulnérabilité de Codenomicon, le groupe de sécurité qui a découvert et alerté le public sur le bogue:
Le bogue Heartbleed est une grave vulnérabilité de la bibliothèque de logiciels de chiffrement OpenSSL très répandue. Cette faiblesse permet de voler les informations protégées, dans des conditions normales, par le cryptage SSL / TLS utilisé pour sécuriser Internet. SSL / TLS assure la sécurité et la confidentialité des communications sur Internet pour des applications telles que le Web, la messagerie électronique, la messagerie instantanée et certains réseaux privés virtuels (VPN)..
Le bogue Heartbleed permet à quiconque sur Internet de lire la mémoire des systèmes protégés par les versions vulnérables du logiciel OpenSSL. Cela compromet les clés secrètes utilisées pour identifier les fournisseurs de services et chiffrer le trafic, les noms et les mots de passe des utilisateurs et le contenu réel. Cela permet aux pirates d'espionner les communications, de voler des données directement aux services et aux utilisateurs et de se faire passer pour des services et des utilisateurs..
Cela semble assez mauvais, oui? Cela semble encore pire lorsque vous réalisez qu'environ deux tiers des sites Web utilisant SSL utilisent cette version vulnérable d'OpenSSL. Nous ne parlons pas de petits sites comme des forums de hot rod ou des sites d'échange de jeux de cartes à collectionner, nous parlons de banques, de sociétés de cartes de crédit, de grands détaillants en ligne et de fournisseurs de courrier électronique. Pire encore, cette vulnérabilité est à l’état sauvage depuis environ deux ans. Cela fait deux ans que quelqu'un avec les connaissances et les compétences appropriées aurait pu puiser dans les identifiants de connexion et les communications privées d'un service que vous utilisez (et, selon les tests effectués par Codenomicon, le faire sans laisser de trace).
Pour une meilleure illustration du fonctionnement du bogue Heartbleed. lire cette bande dessinée xkcd.
Bien qu'aucun groupe ne se soit manifesté pour afficher toutes les informations d'identification et les informations qu'ils ont capturées avec l'exploit, à ce stade du jeu, vous devez supposer que les informations de connexion pour les sites Web que vous fréquentez ont été compromises..
Que faire après le bogue Heartbleed
Toute atteinte à la sécurité majoritaire (et certainement qualifiée à grande échelle) vous oblige à évaluer vos pratiques de gestion des mots de passe. Compte tenu de la portée étendue du bogue Heartbleed, c’est l’occasion parfaite pour passer en revue un système de gestion de mots de passe qui fonctionne déjà bien ou, si vous vous traînez les pieds, pour en configurer un..
Avant de vous lancer dans la modification immédiate de vos mots de passe, sachez que la vulnérabilité n'est corrigée que si l'entreprise a effectué la mise à niveau vers la nouvelle version d'OpenSSL. L'histoire a éclaté lundi et si vous vous précipitiez pour changer immédiatement vos mots de passe sur tous les sites, la plupart d'entre eux utilisaient toujours la version vulnérable d'OpenSSL..
Maintenant, en milieu de semaine, la plupart des sites ont entamé le processus de mise à jour et, au plus tard le week-end, il est raisonnable de supposer que la majorité des sites Web très en vue auront basculé..
Vous pouvez utiliser le vérificateur de bogue Heartbleed ici pour voir si la vulnérabilité est toujours ouverte ou, même si le site ne répond pas aux requêtes du vérificateur susmentionné, vous pouvez utiliser le vérificateur de date SSL de LastPass pour voir si le serveur en question a mis à jour leur. Certificat SSL récemment (s'ils l'ont mis à jour après le 07/07/2014, c'est un bon indicateur qu'ils ont corrigé la vulnérabilité.) Remarque: si vous exécutez howtogeek.com via le vérificateur de bogues, une erreur s'affichera, car nous n'utilisons pas le cryptage SSL en premier lieu, et nous avons également vérifié que nos serveurs n'exécutaient aucun logiciel concerné..
Cela dit, il semble que ce week-end s'annonce comme un bon week-end pour la mise à jour sérieuse de vos mots de passe. Tout d'abord, vous avez besoin d'un système de gestion de mot de passe. Consultez notre guide pour commencer à utiliser LastPass afin de configurer l’une des options de gestion des mots de passe les plus sûres et les plus flexibles du marché. Vous n'êtes pas obligé d'utiliser LastPass, mais vous avez besoin d'un système en place qui vous permettra de suivre et de gérer un mot de passe unique et fort pour chaque site Web visité..
Deuxièmement, vous devez commencer à changer vos mots de passe. La procédure de gestion de crise présentée dans notre guide, Comment récupérer une fois le mot de passe de votre courrier électronique compromis, est un excellent moyen de vous assurer de ne perdre aucun mot de passe; Il met également en évidence les bases d’une bonne hygiène du mot de passe, cité ici:
- Les mots de passe doivent toujours être plus longs que le minimum autorisé par le service.. Si le service en question autorise des mots de passe de 6 à 20 caractères, choisissez le mot de passe le plus long possible..
- N'utilisez pas de mots du dictionnaire dans votre mot de passe. Votre mot de passe devrait jamais être si simple qu’un scan superficiel avec un fichier dictionnaire le révélerait. N'incluez jamais votre nom, une partie du nom d'utilisateur ou du courrier électronique, ni d'autres éléments facilement identifiables, tels que le nom de votre société ou le nom de votre rue. Évitez également d’utiliser des combinaisons de clavier courantes telles que «qwerty» ou «asdf» dans votre mot de passe..
- Utilisez des mots de passe au lieu de mots de passe. Si vous n'utilisez pas de gestionnaire de mots de passe pour mémoriser des mots de passe vraiment aléatoires (oui, nous réalisons que nous utilisons vraiment l'idée d'utiliser un gestionnaire de mots de passe), vous pouvez alors vous rappeler des mots de passe plus forts en les transformant en mots de passe passifs. Pour votre compte Amazon, par exemple, vous pouvez créer le mot de passe facile à retenir «J'aime lire des livres», puis le transformer en un mot de passe du type «! Luv2ReadBkz». C'est facile à retenir et assez fort.
Troisièmement, dans la mesure du possible, vous souhaitez activer l’authentification à deux facteurs. Vous pouvez en savoir plus sur l'authentification à deux facteurs ici, mais en bref, cela vous permet d'ajouter une couche d'identification supplémentaire à votre connexion..
Avec Gmail, par exemple, l’authentification à deux facteurs nécessite que vous ayez non seulement votre identifiant et votre mot de passe, mais aussi un accès au téléphone portable enregistré sur votre compte Gmail, afin que vous puissiez accepter un code de message texte à saisir lorsque vous vous connectez à partir d’un nouvel ordinateur..
Avec l'authentification à deux facteurs activée, il est très difficile pour une personne ayant accès à votre identifiant et à votre mot de passe (comme avec le bug Heartbleed) d'accéder à votre compte..
Les vulnérabilités en matière de sécurité, en particulier celles qui ont des implications aussi étendues, ne sont jamais amusantes, mais elles nous offrent une occasion de resserrer nos pratiques en matière de mots de passe et de garantir que des mots de passe uniques et forts permettent de contenir les dommages, le cas échéant..