Réparer la faille Heartbleed perturbera internet

Tranquillement, les navigateurs, les sites se remettent de l’intrusion du Heartbleed. Cependant, il se peut que certains sites soient perturbés en lenteur ou en accessibilité
Nuage

 

Réparer la faille Heartbleed perturbera internet

 

Photo Heartbleed

WASHINGTON – Réparer l’importante faille informatique Heartbleed, découverte la semaine dernière, pourrait selon des experts américains en sécurité informatique perturber et ralentir internet le temps que son antidote soit généralisé.

La bonne nouvelle est que la plupart des grands sites vulnérables ont mis à jour leurs systèmes. Mais la mauvaise nouvelle est que les navigateurs (Chrome, Firefox, Internet Explorer…) risquent d’être surchargés par le renouvellement nécessaire des certificats de sécurité, ce qui pourrait conduire à des messages d’erreur et ralentir l’accès à certains sites, explique Johannes Ullrich, du SANS Internet Storm Center.

Heartbleed («coeur qui saigne» en français) touche les versions postérieures à mars 2012 d’une portion de programme baptisée OpenSSL, intégrée à de très nombreux sites internet pour sécuriser des communications ou des transactions.

Le correctif passe par l’obtention par les sites de nouveaux certificats de sécurité pour qu’ils soient reconnus comme fiables par les navigateurs. Mais, les navigateurs doivent mettre à jour leur liste de certificats ou «clés» non fiables ou frauduleux, qui déclenchent une alerte quand un internaute tente d’y accéder.

Les navigateurs peuvent habituellement mettre à jour quelques dizaines de clés par jour, mais à cause d’Heartbleed, la liste pourrait se monter à plusieurs dizaines de milliers. Et si la vérification dure trop longtemps, les navigateurs pourraient simplement déclarer le site invalide ou retourner un message d’erreur.

«Les gens vont voir des erreurs», prévient Johannes Ullrich. Le danger, selon lui, est que les utilisateurs ignorent ces avertissements.

Alors que des milliers de sites requièrent de nouveaux certificats de sécurité, «certaines autorités de certificats et administrateurs de sites ont fait des erreurs flagrantes», a souligné la société de sécurité informatique Netcraft.

Google a appelé lundi les développeurs d’applications pour téléphones Android à créer de nouvelles clés de sécurité pour empêcher d’éventuelles failles.

Veo Zhang, spécialiste de sécurité informatique chez Trend Micro, explique que les smartphones sont potentiellement vulnérables, à la fois parce qu’ils se connectent à des serveurs affectés par Heartbleed, et parce que certaines applications mobiles sont vulnérables.

«Nous en avons trouvé 273 (applications) dans Google Play», c’est-à-dire dans l’univers des applications pour Android, a-t-il écrit sur son blogue.

http://fr.canoe.ca/

Heartbleed, une faille de sécurité parmi tant d’autres

Avec la faille informatique Heartbleed, cela remet en question la sécurité sur nos données personnelles sur le web. Qui sont les plus à risque ? Avons-nous, ou aurons-nous une technologie fiable ?
Nuage

 

Heartbleed, une faille de sécurité parmi tant d’autres

 

Photo Fotolia

Patrick Georges

MONTRÉAL – Au moment où les numéros d’assurance sociale de près d’un millier de contribuables ont été dérobés à l’Agence du revenu du Canada en raison de la faille informatique Heartbleed, les experts en sécurité informatique lancent un avertissement préoccupant: il y aura «certainement» d’autres failles à venir.

Lundi, Revenu Canada a rapporté que les numéros d’assurance sociale d’environ 900 Canadiens avaient été soutirés de ses systèmes. Tout indique que des pirates informatiques ont pu infiltrer le système informatique grâce à une faille majeure, surnommée Heartbleed.

«L’Agence du revenu du Canada est l’un de nombreux organismes qui, malgré leurs contrôles hautement sophistiqués, étaient vulnérables à la faille Heartbleed», a déclaré le commissaire Andrew Treusch, par voie de communiqué.

Ce dernier affirme qu’en plus des données personnelles qui ont été volées, «d’autres fragments de données, dont certaines pourraient se rapporter à des entreprises, ont également été soutirées des systèmes».

«IL Y EN AURA D’AUTRES»

Étant donné qu’il est actuellement impossible de déterminer avec certitude les informations dérobées par les pirates, il est donc difficile d’évaluer le potentiel de vol d’identité, a expliqué José M. Fernandez, professeur adjoint au département de génie informatique à l’École Polytechnique de Montréal.

«Dans le pire des scénarios, les numéros d’assurance sociale pourraient être utilisés pour effectuer de la fraude. Les pirates n’ont pas nécessairement eu suffisamment d’information pour faire du vol d’identité», a mentionné le spécialiste.

Il estime d’ailleurs que bien plus de 900 personnes pourraient avoir été touchées au Canada.

Pour M. Fernandez, une chose est claire : il y aura éventuellement d’autres défaillances informatiques majeures dans un avenir rapproché.

«Va-t-il y avoir d’autres failles? Certainement, répond sans détour l’expert. Il s’agit de la cinquième ou sixième faille majeure dans les trois ou quatre dernières années. Et il va y en avoir d’autres.»

AUCUN MOYEN EFFICACE DE PROTECTION

Selon lui, l’état «pitoyable» de la sécurité sur internet engendre un problème généralisé.

«Aujourd’hui, on fait tout et n’importe quoi sur le « world wide web », mais la technologie n’est pas faite pour ça», a précisé M. Fernandez.

Fait inquiétant, il affirme que le citoyen moyen n’a aucun moyen pour se protéger des failles informatiques telles que Heartbleed.

«On ne peut rien faire. Le problème n’est pas votre machine à la maison, mais bien celle des banques et des compagnies», a indiqué le professeur.

Il ajoute qu’il faut maintenant accentuer la pression sur les députés afin qu’ils prennent des mesures appropriées pour garantir la vie privée des citoyens et que les fournisseurs informatiques soient redevables de leurs erreurs.

http://fr.canoe.ca/

Heartbleed: des dégâts difficiles à évaluer

Le piratage Heartbleed cause bien des mots de tête, On change oui ou non nos mots de passe ? Doit-on changer sur tous les sites que nous allons ayant besoin d’un mot de passe ? Mais attention, dans vos courriels, certains profiterons de vous harponner en demandant des renseignements confidentiels pour changer votre mot de passe.
Nuage

 

Heartbleed: des dégâts difficiles à évaluer

 

Photo Fotolia

Sophie Estienne

 

NEW YORK – Presque une semaine après sa découverte, la faille informatique Heartbleed fait l’unanimité chez les experts pour ce qui est de sa gravité mais l’ampleur des dégâts reste difficile à évaluer.

Heartbleed («coeur qui saigne» en français) touche les versions postérieures à mars 2012 d’une portion de programme baptisée OpenSSL, intégrée à nombre de sites internet, serveurs de messagerie et autres accès distants aux entreprises de type VPN.

«C’est sans aucun doute une vulnérabilité critique», indique à l’AFP Thomas Gayet, un spécialiste de la lutte contre la cybercriminalité du cabinet français de conseil en sécurité informatique Lexsi. «Il y a des systèmes vulnérables depuis 2012» et «il y a pu y avoir une fuite de données».

Les pirates ne peuvent pas cibler précisément leurs attaques mais «si sur les deux dernières années des gens ont eu la connaissance de cette vulnérabilité et l’ont utilisée, cela maximise leurs chances d’obtenir des informations sensibles», juge l’expert.

L’agence de renseignement américaine NSA, dont l’espionnage à grande échelle sur internet avait été divulgué l’an dernier par son ancien consultant Edward Snowden, a en tout cas démenti formellement vendredi avoir eu connaissance et exploité Heartbleed.

Thomas Gayet reconnaît qu’il «n’est pas facile a posteriori de savoir si la faille a été utilisée» car cela «ne laisse pas de traces dans les fichiers».

La liste des victimes potentielles est très longue.

Parmi des services en ligne contactés par l’AFP, les groupes internet Yahoo! et Google, le réseau social Facebook et sa filiale de partage de photos Instagram, le site de vidéo en streaming Netflix, ou encore la plateforme de réservation d’hébergements chez l’habitant Airbnb ont effectué une mise à jour de sécurité.

Le site de distribution Amazon.com et le réseau LinkedIn se disent en revanche épargnés. Apple a assuré que ses systèmes d’exploitation iOS et OSX, ainsi que ses «services en ligne clé», n’étaient pas affectés.

Idem pour «la plupart» des services de Microsoft, dont la messagerie Outlook, la messagerie vidéo Skype ou la suite de bureautique en ligne Office 365.

MOTS DE PASSE

 

À côté des géants du web, les banques américaines ont été appelées par leurs régulateurs à remédier «le plus vite possible» à la faille. La première d’entre elles, JPMorgan Chase, a assuré vendredi que ses consommateurs n’avaient pas été exposés.

«Les grands groupes ont pu régler le problème assez vite», explique à l’AFP Tim Maurer, expert en sécurité de la New America Foundation. «Ce sont les entreprises plus petites et de taille moyenne qui n’ont pas nécessairement les ressources et les équipes d’experts en sécurité pour mettre leur système à jour rapidement».

Autre raison de craindre que le problème soit compliqué à régler: des fournisseurs d’infrastructures de réseaux informatiques et télécoms, comme Cisco ou Juniper Networks, soulignent que leurs équipements peuvent eux aussi être affectés.

Si Google estime que ses utilisateurs «n’ont pas besoin de changer leurs mots de passe», la mesure reste recommandée par beaucoup d’acteurs.

Facebook dit ainsi n’avoir «aucun signe d’activité suspecte» mais propose à ses membres de «saisir l’occasion (…) pour créer un mot de passe unique pour leur compte Facebook qui ne soit pas utilisé sur d’autres sites».

Yahoo! suggère en outre «de fournir un numéro de téléphone comme moyen secondaire d’identification».

Changer tous ses mots de passe sans discernement est «un mauvais conseil», prévient toutefois sur son site Graham Cluley, analyste indépendant spécialisé en sécurité informatique.

«On devrait seulement changer les mots de passe sur les sites qui ont confirmé avoir réglé le problème. Le reste augmenterait en réalité les chances que vos informations privées soient interceptées» par des pirates se dépêchant d’exploiter la faille avant sa disparition.

D’autres pourraient aussi, selon lui, utiliser Heartbleed comme prétexte pour des tentatives de «fishing», des courriels demandant de changer un mot de passe et renvoyant sur de fausses copies de sites internet populaires.

Les experts conseillent également aux internautes de surveiller avec une attention particulière leurs comptes bancaires, pour repérer une éventuelle transaction suspecte.

http://fr.canoe.ca/

Heartbleed: hémorragie sur le web! Voici quoi faire

Il serait important de lire cette faille informatique qui risque de causer des maux de tête a plusieurs personnes, car cela pourrait impliquer des sites qui sont généralement fiables (avec le cadenas) ainsi ceux qui font des transactions sur Internet,. Je pense que c’est pour cela que les rapports d’impôts ne peuvent pas présentement se faire en ligne.
Nuage

 

 

Heartbleed: hémorragie sur le web! Voici quoi faire

 

Photo Heartbleed

Denis Talbot

 

Depuis plus de deux ans, une brèche de sécurité d’une importance majeure infecte l’internet. Découverte récemment par des chercheurs de Codenomicon et Google Security, la brèche serait connue depuis décembre 2011 et aurait été déployée par la mise à jour d’OpenSSL en mars 2012.

Certains sites spécialisés pensent même qu’il pourrait s’agir de la plus importante faille de sécurité qu’internet a vu jusqu’à maintenant.

Dévoilée hier le 8 avril, elle afflige un site web sur deux, en plus de compromettre des sites de services. Nos informations personnelles sont-elles hypothéquées: OUI! Peut-on se protéger? Oui et non!

La faille, baptisée «Heartbleed» affecte le protocole à code source ouvert OpenSSL permettant à notre navigateur Internet d’authentifier les pages web visitées… C’est grâce à ce protocole que nos mots de passe, nos NIP bancaires et toutes les actions avec un site Internet sont camouflés. Cette technologie sert aussi à cacher nos échanges par SMS. Elle est représentée par le fameux cadenas barré dans nos fureteurs.

Le service offre une solution à peu de frais pour les petits sites transactionnels. La faille est liée à la librairie cryptographique. Elle donne accès à la clef privée du protocole d’échange.

Les programmes à code source ouvert on l’avantage d’être accessible à tous. Quand une faute surgit, elle est réparée rapidement par la communauté. Cependant, la majeure partie de ces programmes n’ont jamais passé d’audit de sécurité. Et c’est là que le bât blesse!

Heartbleed permet aux bandits de colliger nos informations emmagasinées sur les serveurs des sites vulnérables. La portée réelle des actions s’offrant aux malfrats du web reste encore floue.

Certains experts pensent aussi que les témoins (cookies) servant à nous identifier sont également compromis. Ces fichiers stockent nos identifiants sur les pages visitées ont le potentiel d’être détourné par un assaillant potentiel.

Avec les clés de chiffrement, les pirates peuvent décoder tout le trafic, même celui vers des services protégés. L’exploitation de Heartbleed reste indétectable. Elle ne laisse pas de traces. On estime que 500 000 serveurs ont été affligés par ce bogue.

ET JE FAIS QUOI?

 

Dans le meilleur des mondes, il faudrait éviter les transactions à risque (banque, achats en ligne et courriels).

Il existe aussi d’excellents programmes qui rendent anonyme sur internet. Leur utilisation pourrait partie de notre future hygiène de vie web. Un gestionnaire de mots de passe (MDP) s’avère aussi un outil de taille pour prévenir d’autres usurpations. Personnellement, j’utilise PasswordBox: simple et efficace.

Le site Flippo.io offre de tester les sites que vous visitez régulièrement. Jetez-y un œil.

Changer son mot de passe maintenant ne sert à rien, tant que les sites à risque que vous fréquentez ne sont pas réparés. Quelqu’un pourrait repiquer votre nouveau MDP et reproduire le stratagème. Attendez quelques jours. Et surveillez vos actifs.

Consultez votre boite de courriel afin de vérifier les missives des compagnies fiables. Elles devraient vous avertir dès que tout sera rentré dans l’ordre. Ne répondez pas trop vite aux messages de «changement d’infos personnelles». Il pourrait s’agir d’hameçonnage!

Méfiez-vous aussi des «peddlers» qui nous offriront des logiciels pour régler Heartbleed en vous vendant des programmes inutiles.

La peur et la panique servent généralement très bien les fourbes et les scélérats du web.

http://fr.canoe.ca/