Il serait important de lire cette faille informatique qui risque de causer des maux de tête a plusieurs personnes, car cela pourrait impliquer des sites qui sont généralement fiables (avec le cadenas) ainsi ceux qui font des transactions sur Internet,. Je pense que c’est pour cela que les rapports d’impôts ne peuvent pas présentement se faire en ligne.
Nuage
Heartbleed: hémorragie sur le web! Voici quoi faire
Photo Heartbleed
Denis Talbot
Depuis plus de deux ans, une brèche de sécurité d’une importance majeure infecte l’internet. Découverte récemment par des chercheurs de Codenomicon et Google Security, la brèche serait connue depuis décembre 2011 et aurait été déployée par la mise à jour d’OpenSSL en mars 2012.
Certains sites spécialisés pensent même qu’il pourrait s’agir de la plus importante faille de sécurité qu’internet a vu jusqu’à maintenant.
Dévoilée hier le 8 avril, elle afflige un site web sur deux, en plus de compromettre des sites de services. Nos informations personnelles sont-elles hypothéquées: OUI! Peut-on se protéger? Oui et non!
La faille, baptisée «Heartbleed» affecte le protocole à code source ouvert OpenSSL permettant à notre navigateur Internet d’authentifier les pages web visitées… C’est grâce à ce protocole que nos mots de passe, nos NIP bancaires et toutes les actions avec un site Internet sont camouflés. Cette technologie sert aussi à cacher nos échanges par SMS. Elle est représentée par le fameux cadenas barré dans nos fureteurs.
Le service offre une solution à peu de frais pour les petits sites transactionnels. La faille est liée à la librairie cryptographique. Elle donne accès à la clef privée du protocole d’échange.
Les programmes à code source ouvert on l’avantage d’être accessible à tous. Quand une faute surgit, elle est réparée rapidement par la communauté. Cependant, la majeure partie de ces programmes n’ont jamais passé d’audit de sécurité. Et c’est là que le bât blesse!
Heartbleed permet aux bandits de colliger nos informations emmagasinées sur les serveurs des sites vulnérables. La portée réelle des actions s’offrant aux malfrats du web reste encore floue.
Certains experts pensent aussi que les témoins (cookies) servant à nous identifier sont également compromis. Ces fichiers stockent nos identifiants sur les pages visitées ont le potentiel d’être détourné par un assaillant potentiel.
Avec les clés de chiffrement, les pirates peuvent décoder tout le trafic, même celui vers des services protégés. L’exploitation de Heartbleed reste indétectable. Elle ne laisse pas de traces. On estime que 500 000 serveurs ont été affligés par ce bogue.
ET JE FAIS QUOI?
Dans le meilleur des mondes, il faudrait éviter les transactions à risque (banque, achats en ligne et courriels).
Il existe aussi d’excellents programmes qui rendent anonyme sur internet. Leur utilisation pourrait partie de notre future hygiène de vie web. Un gestionnaire de mots de passe (MDP) s’avère aussi un outil de taille pour prévenir d’autres usurpations. Personnellement, j’utilise PasswordBox: simple et efficace.
Le site Flippo.io offre de tester les sites que vous visitez régulièrement. Jetez-y un œil.
Changer son mot de passe maintenant ne sert à rien, tant que les sites à risque que vous fréquentez ne sont pas réparés. Quelqu’un pourrait repiquer votre nouveau MDP et reproduire le stratagème. Attendez quelques jours. Et surveillez vos actifs.
Consultez votre boite de courriel afin de vérifier les missives des compagnies fiables. Elles devraient vous avertir dès que tout sera rentré dans l’ordre. Ne répondez pas trop vite aux messages de «changement d’infos personnelles». Il pourrait s’agir d’hameçonnage!
Méfiez-vous aussi des «peddlers» qui nous offriront des logiciels pour régler Heartbleed en vous vendant des programmes inutiles.
La peur et la panique servent généralement très bien les fourbes et les scélérats du web.
Nuage Ciel d'Azur 