Une application pour tuer des diabétiques créée… pour mieux les protéger

Des chercheurs en sécurité informatique ont forcé la main de Medtronic à prendre au sérieux des risques de la pompe à insuline MiniMed 508 à une attaque pour changer la dose d’insuline nécessaire ou ne pas en donner du tout. Ils ont même rendu public l’application qui peut tuer un diabétique.Medtronic a été lent à avouer la vulnérabilité de ses pompes, mais il a fini par agir.Il a fallu des moyens drastiques pour changer les choses. J’avoue ne pas trop aimer ce genre de procédé qui permet de rester en vie que ce soient les pompes insulines ou autres outils, alors qu’il y a toujours une personne qui pourrait pirater le programme.
Nuage

Une application pour tuer des diabétiques créée… pour mieux les protéger

Deux chercheurs ont voulu démontrer le potentiel meurtrier des vulnérabilités informatiques des pompes à insuline MiniMed 508 de Medtronic.

PHOTO : GETTY IMAGES / MARKHATFIELD

Radio-Canada

Des chercheurs en sécurité informatique ont mis au point une application pouvant se connecter à des pompes à insuline et administrer des doses fatales d’insuline aux personnes diabétiques. Dans une entrevue avec Wired, ces chercheurs disent avoir conçu l’application pour forcer le fabricant à réagir aux vulnérabilités de ses appareils.

Il y a deux ans, les chercheurs de la firme QED Billy Rios et Jonathan Butts faisaient une découverte troublante en étudiant le fonctionnement des pompes à insuline MiniMed 508 de Medtronic. Avec un peu de savoir-faire, une personne mal intentionnée pouvait aisément copier les radiofréquences de la télécommande de ces appareils pour lui envoyer des instructions à distance. Résultat : il était possible d’administrer de multiples doses d’insuline ou encore d’en bloquer l’injection à une personne diabétique.

Rapidement après leur découverte, les deux hommes contactent Medtronic pour la prévenir du danger et tentent de négocier avec l’entreprise pour mettre en place un système de protection ou un plan de remplacement des appareils.

Exaspérés par la résistance de Medtronic, les deux chercheurs rendent leur découverte publique dans l’espoir de faire bouger les choses. Leur présentation au congrès de cybersécurité Black Hat de Las Vegas, en août 2018, attire l’attention des médias du monde entier, et la Food and Drug Administration (FDA), l’équivalent de Santé Canada aux États-Unis, émet un avertissement public (Nouvelle fenêtre) sur son site web.

Mais ni Medtronic ni la FDAFood and Drug Administration n’agissent concrètement pour régler le problème et protéger les diabétiques utilisant une pompe MiniMed 508. Medtronic ne reconnaît d’ailleurs pas publiquement l’existence des vulnérabilités avant la publication sur son site web d’un bulletin de sécurité (Nouvelle fenêtre) en mars 2019.

L’application qui tue

À ce moment-là, Billy Rios et Jonathan Butts sont à bout de patience. Selon eux, un nouveau coup d’éclat est nécessaire pour forcer Medtronic à réagir. Cette fois, au lieu d’expliquer les risques théoriques liés à leur découverte, ils démontrent le véritable potentiel meurtrier des vulnérabilités des MiniMed 508.

Ces pompes à insuline sont généralement contrôlées directement par la personne diabétique, mais elles sont livrées avec une télécommande permettant au personnel médical de l’activer dans un rayon de quelques mètres.

Les communications entre la télécommande et la pompe ne sont toutefois pas chiffrées, ont découvert Billy Rios et Jonathan Butts, avec l’aide des chercheurs Jesse Young et Carl Schuett. Cela fait en sorte qu’il est relativement facile d’imiter le signal de la télécommande et de contourner les défenses rudimentaires en place à l’aide d’une télécommande fabriquée de toute pièce.

Une fois le contact entre la télécommande frauduleuse et la pompe établi, une personne mal intentionnée peut contrôler l’appareil à partir de son téléphone cellulaire.

Rappel volontaire

Le pari des chercheurs a porté fruit. Le 27 juin dernier, la FDAFood and Drug Administration a émis un avis de rappel volontaire (Nouvelle fenêtre) pour les pompes MiniMed 508 et pour 10 autres modèles de MiniMed. Selon Medtronic et la FDAFood and Drug Administration, il n’existe aucun moyen de mettre à jour les pompes à insuline pour les prémunir contre ce genre d’attaque.

Medtronic offre des appareils de remplacement équipés de « capacités de sécurité améliorées ». L’entreprise exhorte par ailleurs les diabétiques à consulter leur médecin pour savoir s’ils et elles devraient changer de pompe.

Avec les informations de Wired et CNBC

https://ici.radio-canada.ca

Des hackers peuvent infiltrer un réseau à l’aide d’un simple fax

Mieux vaut prévenir que guérir et c’est aussi valable en informatique. Ce fut une bonne question de savoir si un fax peut se pirater. Une réponse qui permet de corriger la faille
Nuage

 

Des hackers peuvent infiltrer un réseau à l’aide d’un simple fax

 

Pour exploiter les failles existantes au niveau des protocoles de communication des fax, les hackers n’ont besoin que du numéro de fax de la société visée, lequel numéro est très souvent facile à obtenir. © getty.

Source: Belga

Les fax sont peut-être démodés mais de nombreuses entreprises en disposent encore d’un exemplaire. Et ces appareils représentent un risque en matière de sécurité informatique, selon une enquête menée par Check Point.

Les chercheurs de cette société américaine de sécurité informatique ont montré que des pirates informatiques peuvent infiltrer n’importe quel réseau d’une entreprise ou d’un domicile en utilisant une imprimante-fax.

Pour exploiter les failles existantes au niveau des protocoles de communication des fax, les hackers n’ont besoin que du numéro de fax de la société visée, lequel numéro est très souvent facile à obtenir.

Les chercheurs de Check Point sont parvenus à pirater un réseau au départ d’une imprimante-fax HP mais les mêmes protocoles de communication sont utilisés par des millions d’autres appareils de ce type d’autres marques, soulignent-ils.

Check Point dit encore avoir mis au point, en collaboration avec HP, un logiciel correcteur, sous la forme d’une mise à jour, permettant de supprimer ce risque de sécurité.

https://www.7sur7.be/

Ces 5 habitudes qui compromettent votre sécurité informatique

Naviguer sur Internet est facile, mais il faut être prudent pour éviter les pièges que pirates informatiques sèment un peu partout. Il y a certaines habitudes que nous devons prendre pour éviter de perdre gros
Nuage

 

Ces 5 habitudes qui compromettent votre sécurité informatique

 

 

© thinkstock.

Jeanne Poma.
Source: Vanity Fai

Maintenant que tout peut être réalisé via votre ordinateur, les esprits malveillants n’attendent qu’une chose: vous attaquer sur la toile.

La sécurité informatique fait beaucoup parler d’elle car les gens dépensent de plus en plus en ligne. Les attaques et les vols sur le net ont donc tendance à prendre de plus en plus d’importance. Ils sont pourtant souvent dus à de mauvaises habitudes de la part des utilisateurs. Voici les cinq principales mauvaises habitudes dont vous devriez vous débarrasser immédiatement.  Installer des applications ou des plugins inconnus

Les pirates peuvent trafiquer des applications et vous les présenter de manière à ce qu’elles vous paraissent inoffensives. Ces applications malveillantes peuvent voler des informations privées que le pirate pourra ensuite utiliser à ses propres fins. Avant d’installer une nouvelle application, prenez garde à vérifier les mises à jour et analysez le fichier grâce à un anti-virus avant d’exécuter le fichier. 

Surfer sur des sites malveillants

La navigation sur des sites inconnus, des sites issus de marques étranges ou qui vous présentent un aspect bizarre sont à éviter car ils peuvent vous causer de graves problèmes. Ils peuvent vous envoyer des virus ou voler vos codes d’accès. Vous ne remarquerez que ces programmes sont nuisibles qu’au moment où vous perdrez vos informations. Il existe maintenant de nouveaux chevaux de Troie, cachés dans des publicités, des pop-ups ou simplement les sites eux-mêmes. Mieux vaut s’en tenir à des sites qui ont une bonne réputation. 

Ignorer les mises à jour

Une mise à jour de vos logiciels prend du temps, surtout si vous avez un réseau Internet lent mais elle sécurise votre ordinateur. Les logiciels obsolètes sont souvent la cible d’attaques car les mises à jour qui auraient pu corriger les failles de sécurité n’ont pas été installées. Vous pouvez donc ignorer de temps en temps les mises à jour mais pas à chaque fois. 

Ne pas vérifier la connexion au Wi-Fi

Lorsque vous vous connectez à un Wi-Fi public pour regarder des vidéos en attendant votre avion, par exemple, cela peut être amusant. Mais les réseaux publics sont connus pour être un paradis pour les pirates. Ils peuvent y obtenir toutes les informations de votre ordinateur ou de votre téléphone. C’est pourquoi on recommande de ne jamais aller sur le site de sa banque lorsque l’on est connecté à un Wi-Fi public. 

Faire uniquement confiance à son logiciel anti-virus

Les logiciels anti-virus font du bon travail mais aucun logiciel n’est parfait. Le meilleur anti-virus est l’utilisateur lui-même. Les pirates ont généralement une longueur d’avance sur les logiciels anti-virus et le logiciel de protection ne peut éliminer que les logiciels malveillants et les virus présents dans la base de données. Les virus de la dernière génération causeront sûrement des dommages avant que le logiciel de protection puisse faire quoi que ce soit.

http://www.7sur7.be/

Pirater un ordinateur avec de l’ADN

Vous imaginez pirater un ordinateur avec un code ADN synthétisé ! Alors que les analyses ADN sont de plus en plus populaire avec des informations confidentielles pourraient être tentant pour des pirates. Les chercheurs ont donc vue que ce genre de piratage pourraient devenir possible, il est temps de réagir
Nuage

 

Pirater un ordinateur avec de l’ADN

 

heso59

Des chercheurs viennent de réussir à introduire dans un ordinateur un cheval de Troie à base d’ADN.

(CCM) — Cette percée de l’équipe de chercheurs de l’Université de Washington pourrait révolutionner des pans entiers de la sécurité informatique. En infectant un ordinateur avec une séquence d’ADN synthétique, ils ont réussi à introduire un code informatique malveillant dans la machine.

Le professeur Tadayoshi Kohono est réputé dans le monde de la cybersécurité pour ses thèses avant-gardistes, notamment en matière de hacking d’objets connectés. Aujourd’hui, avec ses équipes du laboratoire DNA SEC de l’Université de Washington (lien en anglais), il franchit une nouvelle frontière, en faisant entrer le piratage informatique dans l’ère de l’ADN. Pour cela, les chercheurs ont synthétisé une séquence d’ADN en y injectant du code informatique. Pour l’expérience, il s’agissait d’un malware, mais rien n’empêche d’imaginer qu’un jour, ce code pourrait également être bienveillant…

Une fois le code embarqué dans l’ADN synthétique, il ne restait plus qu’à infecter l’ordinateur en charge du séquençage. En exploitant la faille classique du dépassement de tampon – buffer overflow – l’équipe de l’Université de Washington s’est retrouvée aux commandes de l’ordinateur, avec la possibilité de prendre le contrôle du réseau à distance.

L’expérience montre la faiblesse de la sécurité en place dans ce type de logiciels de séquençage. Utilisés dans les laboratoires de recherche ou par les entreprises proposant de l’analyse d’ADN en ligne, ils représentent une source supplémentaire de vulnérabilités informatiques. Alors que les données qu’ils manipulent sont extrêmement confidentielles et personnelle, et que ces services d’analyse ADN se démocratisent, il était temps de tirer le signal d’alarme.

http://www.commentcamarche.net

Une attaque informatique de portée mondiale suscite l’inquiétude

Un rançongiciel monstre attaque plusieurs pays dont des hôpitaux, qui mettent des patients en danger. Il semble que c’est la NASA qui aurait découvert cette cyberattque, mais n’aurait pas prévenu au moment voulu et cela aurait peut-être pu éviter qu’environs 100 pays soient affectés
Nuage

 

Une attaque informatique de portée mondiale suscite l’inquiétude

 

Les autorités américaines et britanniques ont mis en garde vendredi contre une vague de cyberattaques simultanées qui a touché des dizaines de pays dans le monde, à l’aide d’un logiciel de rançon, et conseillé de ne pas payer les pirates informatiques.

Ceux-ci ont apparemment exploité une faille dans les systèmes Windows, divulguée dans des documents piratés de l’agence de sécurité américaine NSA.

«Aujourd’hui nous avons assisté à une série de cyberattaques contre des milliers d’organisations et d’individus dans des dizaines de pays», a indiqué dans un communiqué l’agence britannique de cybersécurité (NCSC) qui recommande de mettre à jour ses logiciels de sécurité et ses antivirus.

«Nous avons reçu de multiples rapports d’infection par un logiciel de rançon», a écrit le ministère américain de la Sécurité intérieure dans un communiqué. «Particuliers et organisations sont encouragés à ne pas payer la rançon, car cela ne garantit pas que l’accès aux données sera restauré».

Cette vague d’attaques informatiques de «portée mondiale» suscite l’inquiétude des experts en sécurité. Le logiciel verrouille les fichiers des utilisateurs et les force à payer une somme d’argent sous forme de bitcoins pour en recouvrer l’usage: on l’appelle le «rançongiciel».

«Nous avons relevé plus de 75 000 attaques dans 99 pays», a noté vers 20H00 GMT Jakub Kroustek, de la firme de sécurité informatique Avast, sur un blogue.

Forcepoint Security Labs, autre entreprise de sécurité informatique, évoque de son côté «une campagne majeure de diffusion de courriels infectés», avec quelque 5 millions de courriels envoyés chaque heure répandant le logiciel malveillant appelé WCry, WannaCry, WanaCrypt0r, WannaCrypt ou Wana Decrypt0r.

Des organisations en Espagne, en Australie, en Belgique, en France, en Allemagne, en Italie et au Mexique ont également été touchées selon des analystes. Aux États-Unis, le géant de livraison de colis FedEx a reconnu avoir lui aussi été infecté.

Le ministère russe de l’Intérieur a également annoncé avoir été touché par un virus informatique vendredi, même s’il n’a pas été précisé s’il s’agit bien de la même attaque.

Ces attaques informatiques ont notamment touché le service public de santé britannique (NHS), bloquant les ordinateurs de nombreux hôpitaux du pays.

«À ce stade, nous n’avons pas d’élément permettant de penser qu’il y a eu accès à des données de patients», a voulu rassurer la direction du service public de santé britannique.

L’attaque a toutefois sérieusement désorganisé des dizaines d’hôpitaux, contraints d’annuler certains actes médicaux et de renvoyer des ambulances vers d’autres établissements.

«Nous sommes conscients que ces attaques sur des services d’urgence ont un lourd impact sur les patients et leurs familles et nous mettons tout en oeuvre pour remettre en route ces services vitaux», a indiqué le NCSC.

Des images ont été partagées sur les réseaux sociaux avec des écrans d’ordinateurs du NHS demandant le paiement de 300 dollars en bitcoins avec la mention: «Oups, vos dossiers ont été cryptés».

Le paiement doit intervenir dans les trois jours, ou le prix double, et si l’argent n’est pas versé dans les sept jours les fichiers piratés seront effacés, précise le message.

Microsoft a publié un correctif de sécurité il y a quelques mois pour réparer cette faille, mais de nombreux systèmes n’ont pas encore été mis à jour.

Selon la société Kaspersky, le logiciel malveillant a été publié en avril par le groupe de pirates «Shadow Brokers», qui affirme avoir découvert la faille informatique par la NSA.

«Contrairement à des virus normaux, ce virus se répand directement d’ordinateur à ordinateur sur des serveurs locaux, plutôt que par courriel», a précisé Lance Cottrell, directeur scientifique du groupe technologique américain Ntrepid. «Ce logiciel de rançon peut se répandre sans que qui que ce soit ouvre un courriel ou clique sur un lien».

«Des logiciels de rançon sont particulièrement vicieux quand ils infectent des institutions comme des hôpitaux, où la vie de patients est mise en danger», a repris M. Kroustek, analyste d’Avast.

«Si la NSA avait discuté en privé de cette faille utilisée pour attaquer des hôpitaux quand ils l’ont « découverte », plutôt que quand elle leur a été volée, ça aurait pu être évité», a regretté sur Twitter Edward Snowden, l’ancien consultant de l’agence de sécurité américaine qui avait dévoilé l’ampleur de la surveillance de la NSA en 2013.

http://www.tvanouvelles.ca/

Vos comptes ont-ils été piratés?

Ce qui est vraiment désagréable sur Internet, c’est bien de se faire pirater. Le pire, c’est qu’on ne sait pas peut-être pas qu’on a subi un piratage. Voici, un site qui permet de faire des vérifications sur vos comptes
Nuage

 

Vos comptes ont-ils été piratés?

 

Photo Fotolia

Il y a une façon facile et rapide de vérifier si des données de vos comptes de courrier électronique ont été dérobées par des pirates informatiques: le site haveibeenpwned.com.

Le site fait de plus en plus parler de lui dans l’actualité comme une ressource indispensable pour les experts en sécurité informatique. Il révélait récemment que les données de 65 millions de comptes d’utilisateurs du site de microblogage Tumblr obtenues par un piratage étaient marchandées sur le web.

Il tire son nom de l’argot internet, «Have I Been Pwned?» se traduisant par «Ai-je été [NDLR: comprendre « piégé »]?»

Haveibeenpwned.com obtient et archive les données de failles de sécurité rendues publiques (évidemment, de nombreuses attaques informatiques restent dans l’ombre). Il s’agit généralement des adresses courriel de comptes dont les mots de passe ont été volés par des pirates informatiques.

À ce jour, le site web répertorie plus de 970 millions de comptes atteints par des pirates informatiques, qui ont attaqué différents sites, dont les cas les plus récents et médiatisés de LinkedIn et MySpace. À eux seuls, les données volées à ces deux sites touchent plus de 520 millions de comptes.

Pour savoir si vous faites partie des victimes de ces pirates informatiques, c’est simple: entrez une adresse courriel ou un nom d’utilisateur dans la barre de recherche du site et cliquez sur «pwned?».

Si vous avez été ciblé dans une faille considérée comme sensible (sites pornos ou de rencontre comme Ashley Madison), ces données ne seront toutefois pas accessibles par une recherche publique.

CHANGEZ VOTRE MOT DE PASSE!

Votre adresse figure parmi les comptes répertoriés par haveibeenpwned.com? Le site web vous informera du type d’informations obtenues par des pirates informatiques (nom d’utilisateur, mots de passe et/ou autres) et pourra aussi vous suggérer une marche à suivre.

À retenir: si, par exemple, votre compte LinkedIn a été piraté, cela ne signifie pas que votre compte courriel qui y est lié est en danger. Toutefois, si vos mots de passe sont les mêmes pour tous vos comptes, il pourrait être bien avisé de les modifier.

http://fr.canoe.ca/

Deux hackers ont réussi à prendre le contrôle d’un fusil «connecté»

En plus qu’il y a trop d’armes à feu en circulation, il faut que des armes soient encore plus précises avec l’informatique. Et comme toutes choses connectées est susceptibles d’être piraté, ce n’est vraiment pas une technologie intelligente
Nuage

 

Deux hackers ont réussi à prendre le contrôle d’un fusil «connecté»

 

 

Runa Sandvik et Michael Auger, spécialistes de sécurité informatique qui ont réussi à prendre le contrôle à distance d’une arme à feu | Wired

Un couple de spécialistes de sécurité informatique a réussi à prendre le contrôle à distance d’une arme à feu munie d’un «système de précision guidée».

Des voitures au frigo en passant par la brosse à dents, tous les objets veulent aujourd’hui être «connectés» ou «smart». L’armement n’est pas resté en marge de cette tendance, et un fabricant américain propose par exemple des fusils de chasse à assistance informatique pour la visée. L’entreprise Tracking Point commercialise des modèles munis d’un système de «précision guidée»: la ligne de mire se fixe sur la cible et le point d’impact le plus précis souhaité. Le logiciel prend en compte des aléas comme le vent, la température et le poids des munitions pour ajuster le tir. Environ un millier de ces fusils, vendus 13.000 dollars, sont en circulation.

Or Runa Sandvik et Michael Auger, un couple de spécialistes de sécurité informatique, ont réussi à prendre le contrôle à distance de cette arme à feu, et montrent leurs exploits dans une vidéo réalisée par le site Wired.

Car comme tous les objets connectés, l’arme a un point faible: permettre un point d’entrée au réseau, en l’occurrence une connexion wifi. Cette connexion permet notamment à l’heureux détenteur d’un modèle semi-automatique de devenir «la star de sa propre chasse» en diffusant en direct sur n’importe quel écran connecté ce qu’il voit dans l’œilleton, idéalement auprès des membres de sa famille tranquillement installés dans leur salon…

http://www.slate.fr/

Ils abandonnent leur enfant contre… du Wi-Fi gratuit

Avant de juger trop vite, il faut lire la suite, car ce n’est pas vraiment la réalité mais une question de sécurité via les Wi-Fi publics. Une prise de conscience que très peu savent comment se protéger
Nuage

 

Ils abandonnent leur enfant contre… du Wi-Fi gratuit

 

Photo Archives / Agence QMI

LONDRES – Plusieurs Britanniques ont accepté d’abandonner leur enfant le plus âgé en échange du Wi-Fi gratuit dans un café, piégés par des clauses de connexion mal lues pour une étude illustrant les dangers de l’accès public à internet publiée lundi.

Ces Londoniens, qui se connectaient à internet d’un café situé dans un quartier du centre de la capitale britannique, devaient accepter des «termes et conditions» pour utiliser une connexion wifi disponible dans l’établissement.

Mais ceux-ci incluaient une clause baptisée «Hérode» précisant que la connexion ne sera fournie que si «le destinataire accepte de nous donner son enfant le plus âgé pour l’éternité».

Sur la courte période pendant laquelle ces termes et conditions ont été appliqués, six personnes se sont fait avoir.

«Comme il s’agit d’une expérience, les enfants seront rendus à leurs parents», a toutefois précisé l’entreprise de sécurité informatique ayant réalisé cette étude, F-Secure.

Cette expérience avait pour but d’alerter sur «le mépris total pour la sécurité informatique des gens quand ils se déplacent», précise F-Secure dans le rapport ayant suivi l’expérience.

C’est l’entreprise allemande de «hacking éthique» SySS qui a fabriqué l’appareil utilisé pour cette étude: une petite borne wifi, tenant dans un sac à main et vendue 200 euros (près de 285 $).

En seulement 30 minutes, 250 appareils se sont connectés à cette borne, parfois de façon automatique.

L’entreprise a alors pu récolter les textes des e-mails envoyés par ces appareils, l’adresse mail des expéditeurs et des destinataires de ces e-mails ainsi que les mots de passe des expéditeurs.

«Au mieux, votre appareil ne divulgue que des informations privées vous concernant. Au pire, vos mots de passe sont dévoilés et tout le monde utilisant le même réseau peut y avoir accès», a expliqué Sean Sullivan, conseiller en sécurité de F-Secure, s’exprimant sur le danger des connexions wifi publiques.

http://fr.canoe.ca

Réparer la faille Heartbleed perturbera internet

Tranquillement, les navigateurs, les sites se remettent de l’intrusion du Heartbleed. Cependant, il se peut que certains sites soient perturbés en lenteur ou en accessibilité
Nuage

 

Réparer la faille Heartbleed perturbera internet

 

Photo Heartbleed

WASHINGTON – Réparer l’importante faille informatique Heartbleed, découverte la semaine dernière, pourrait selon des experts américains en sécurité informatique perturber et ralentir internet le temps que son antidote soit généralisé.

La bonne nouvelle est que la plupart des grands sites vulnérables ont mis à jour leurs systèmes. Mais la mauvaise nouvelle est que les navigateurs (Chrome, Firefox, Internet Explorer…) risquent d’être surchargés par le renouvellement nécessaire des certificats de sécurité, ce qui pourrait conduire à des messages d’erreur et ralentir l’accès à certains sites, explique Johannes Ullrich, du SANS Internet Storm Center.

Heartbleed («coeur qui saigne» en français) touche les versions postérieures à mars 2012 d’une portion de programme baptisée OpenSSL, intégrée à de très nombreux sites internet pour sécuriser des communications ou des transactions.

Le correctif passe par l’obtention par les sites de nouveaux certificats de sécurité pour qu’ils soient reconnus comme fiables par les navigateurs. Mais, les navigateurs doivent mettre à jour leur liste de certificats ou «clés» non fiables ou frauduleux, qui déclenchent une alerte quand un internaute tente d’y accéder.

Les navigateurs peuvent habituellement mettre à jour quelques dizaines de clés par jour, mais à cause d’Heartbleed, la liste pourrait se monter à plusieurs dizaines de milliers. Et si la vérification dure trop longtemps, les navigateurs pourraient simplement déclarer le site invalide ou retourner un message d’erreur.

«Les gens vont voir des erreurs», prévient Johannes Ullrich. Le danger, selon lui, est que les utilisateurs ignorent ces avertissements.

Alors que des milliers de sites requièrent de nouveaux certificats de sécurité, «certaines autorités de certificats et administrateurs de sites ont fait des erreurs flagrantes», a souligné la société de sécurité informatique Netcraft.

Google a appelé lundi les développeurs d’applications pour téléphones Android à créer de nouvelles clés de sécurité pour empêcher d’éventuelles failles.

Veo Zhang, spécialiste de sécurité informatique chez Trend Micro, explique que les smartphones sont potentiellement vulnérables, à la fois parce qu’ils se connectent à des serveurs affectés par Heartbleed, et parce que certaines applications mobiles sont vulnérables.

«Nous en avons trouvé 273 (applications) dans Google Play», c’est-à-dire dans l’univers des applications pour Android, a-t-il écrit sur son blogue.

http://fr.canoe.ca/