Non classé

Ce que vous devez savoir sur Heartbleed et la modification de vos mots de passe

Ce que vous devez savoir sur Heartbleed et la modification de vos mots de passe



We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

[Source de l'image:Heartbleed]

Vous avez donc peut-être entendu parler de Heartbleed ces derniers temps et tous vos amis peuvent vous dire de changer tous vos mots de passe. Cependant, avant de changer vos mots de passe, vous devez savoir que le site Web en question a pris tout les étapes nécessaires pour se protéger de Heartbleed, sinon votre nouveau mot de passe restera tout aussi vulnérable. Certaines listes flottantes vous indiquant que les sites sont prêts pour les changements de mot de passe n'ont cependant pas vérifié toutes les étapes de sécurité nécessaires. Poursuivez votre lecture pour en savoir plus:

P.S. Nous allons (essayer de) expliquer exactement ce qu'est la faille de sécurité Heartbleed d'une manière qui tout le monde peut comprendre et aussi vous faire savoir les points importants où et quand vous devez changer votre mot de passe.

Qu'est-ce que le bug Heartbleed?

Web comic xkcd a esquissé un petit dessin animé qui explique Heartbleed de la manière la plus simple que nous ayons vue:

Tout d'abord, vous devez savoir que la sécurité Web est assurée par un logiciel appelé OpenSSL (couche de sockets sécurisés), qui crypte (brouille) les données envoyées vers et depuis l'ordinateur d'un utilisateur et le serveur du site Web (où le site Web est hébergé / stocké). Si important, pensez à des choses telles que noms d'utilisateur, mots de passe et même carte de crédit et adresse que vous soumettriez à des formulaires en ligne, qui passeraient de votre ordinateur au serveur du site Web.

Heartbleed profite de quelque chose connu sous le nom de "battement de coeur" entre l'ordinateur de l'utilisateur et le serveur du site Web - en gros, lorsque vous accédez à un site Web, le site Web répondra pour informer votre ordinateur qu'il est actif et qu'il attend vos demandes avec un battement de cœur. Le battement de cœur est censé être une réponse égale à la quantité de données que votre ordinateur a envoyée lors de la demande. Cependant, un bogue dans le logiciel permet aux pirates de demander plus de données à la mémoire des serveurs au-delà du total des données de la demande initiale jusqu'à 65 536 octets. Ces informations supplémentaires reçues dans la demande peuvent contenir n'importe quoi, des mots de passe aux détails de carte de crédit que d'autres personnes ont envoyés (voir la caricature ci-dessus).

On dit que le bogue Heartbleed est une erreur honnête commise par le programmeur Robin Seggelmann, qui a ajouté au logiciel open source, OpenSSL, le réveillon du Nouvel An 2011. Cela signifie que la faille de sécurité existe depuis plus de 2 ans maintenant et le pire en partie, il n'y a aucun moyen de savoir si un pirate informatique a fait une demande d'informations supplémentaires à partir du battement de cœur. En d'autres termes, il n'y a aucun moyen de savoir si quelqu'un a déjà volé des mots de passe ou d'autres informations sensibles sur un site Web.

Quand dois-je changer mon mot de passe?

De nombreux sites Web proposent des listes qui offrent des conseils sur les sites Web à modifier et sur la nécessité de modifier encore votre mot de passe. Cependant, de nombreux experts en sécurité (tels que Bruce Schneier, Troy Hunt et les gens d'AgileBits), disent que vous devez vérifier trois choses:

  1. Le site (ou le matériel / l'application car Heartbleed affecte plus que les sites Web) utilisait une version d'OpenSSL qui était en fait vulnérable à Heartbleed (versions 1.0.1 de mars 2012 à 1.0.1f). La version contenant le correctif est 1.0.1g qui a été publiée le 7 avril 2014.
  2. Le site a corrigé le bogue OpenSSL.
  3. Le site a renouvelé les clés de sécurité puis a émis un nouveau certificat de sécurité (SSL).

Si tout cela est un peu trop mumbo jumbo pour vous, il est signalé que le vérificateur Heartbleed de LastPass est actuellement la méthode de vérification la plus fiable si vous ne pouvez pas vous vérifier manuellement. Pour un examen plus approfondi pour vous assurer qu'un site est prêt pour les changements de mot de passe, rendez-vous sur ITWorld.

Certaines listes sur Internet de sites pour lesquels vous devez changer votre mot de passe ont seulement vérifié que les sites Web avaient corrigé le bogue OpenSSL par exemple et n'ont pas vérifié si de nouveaux certificats de sécurité (SSL) ont été émis. Comme il est impossible de dire si un serveur a été victime d'une attaque Heartbleed, il est difficile de savoir si un pirate informatique peut avoir téléchargé des clés de sécurité, ce qui rendrait le site Web vulnérable si les trois étapes ci-dessus ne sont pas terminées.

Je viens de relever le défi de @CloudFlare: https://t.co/8ZPSxyKF4D. Je me demande quand ils mettront à jour la page.

- Fedor Indutny (@indutny) 11 novembre 2014

Récemment, le réseau de distribution de contenu Cloudflare s'est penché sur la gravité du bogue en incitant ses chercheurs à essayer d'utiliser Heartbleed pour obtenir des clés de sécurité SSL et en échouant. Cependant, lorsqu'ils ont lancé le défi au public, un pirate informatique de l'équipe Node.js connu sous le nom de Fedor a réussi à récupérer les clés SSL privées.

Nous espérons que cela vous aidera à comprendre Heartbleed et que vous ferez les changements de mot de passe nécessaires et programmés pour assurer votre sécurité en ligne. Enfin, nous souhaitons vous rappeler ne pas d'utiliser le même mot de passe pour tous les sites Web car cela pourrait être désastreux. Si vous ne pouvez pas suivre autant de mots de passe différents, nous vous recommandons d'utiliser un programme comme LastPass.

Consultez également la campagne Logme Once Kickstarter qui offre un gestionnaire de mots de passe, une sécurité numérique, ainsi qu'un périphérique de stockage USB sécurisé et un chargeur de batterie mobile dans un seul package:

LogmeOnce répond à un besoin quotidien. Qui ne craint pas de se faire pirater, d’oublier ses mots de passe ou simplement d’être vulnérable parce qu’il a des mots de passe faibles? LogmeOnce offre une alternative sécurisée et facile à utiliser à ces préoccupations et des mots de passe écrits à la hâte sur des bouts de papier


Voir la vidéo: Keepass: Le Gestionnaire de Mot de passe! (Août 2022).