Phenquestions
Près de 70 pour cent du trafic sur Internet emploie OpenSSL pour sécuriser les transferts de données. Cela se traduit par le fait que presque tous les principaux serveurs (lire : sites Web) utilisent OpenSSL pour sécuriser vos données telles que les informations de connexion. Cependant, quelqu'un de Google a trouvé un bogue dans OpenSSL - une erreur de programmation mineure mais suffisamment importante pour donner vos données à des pirates - des personnes disposées à utiliser vos données à leurs fins. Ce bogue OpenSSL est nommé Saignement de cœur car il est étroitement lié à une couche HeartBeat d'OpenSLL.
Qu'est-ce que Heartbleed Bug
La plupart des serveurs acceptent les données cryptées, les décodent à l'aide des clés de cryptage et les transmettent pour traitement. Étant donné que la plupart des serveurs utilisent la méthode FIFO (First in First Out) pour servir les utilisateurs finaux, souvent, les données (après déchiffrement) restent dans la mémoire du serveur pendant un certain temps avant que le serveur ne les utilise pour un traitement ultérieur.
Le bug Heartbleed est un cas d'inquiétude pour presque tous les sites Web commerciaux basés sur Internet et certains autres types. Cette erreur de programmation permet aux pirates de s'enregistrer sur n'importe quel serveur utilisant OpenSSL et de lire/enregistrer/utiliser les données non cryptées (données décryptées). Les pirates informatiques n'ont désormais plus seulement accès à vos données, ils peuvent reproduire le certificat du site Web rendant Internet, encore plus dangereux. Avec la copie du certificat du site Web, les pirates peuvent créer des sites mimiques : des sites qui ressemblent aux sites originaux. Avec cela, ils peuvent accéder davantage à vos données telles que les détails de la carte de crédit, les informations personnelles, etc.
Les sons effrayants, n'est-ce pas? C'est - en effet - qu'il peut accéder à vos informations et que ces informations peuvent être utilisées à n'importe quelle fin.
Noter: Heartbleed a aussi un nom de code CVE-2014-0160. CVE signifie Common Vulnerabilities and Exposures. Ces codes liés aux vulnérabilités, etc. sont donnés par MITRE, un organisme indépendant qui garde la trace des bogues et problèmes similaires.
Dois-je mettre à niveau mon antivirus ou quelque chose
Le bug Heartbleed dans OpenSSL n'a rien à voir avec votre antivirus ou pare-feu. Ce n'est pas un problème côté client, vous ne pouvez donc pas y faire grand-chose. De l'autre côté, les serveurs doivent appliquer un correctif au système OpenSSL qu'ils utilisent. Cela fait, on peut dire que le site Web est plus sûr pour interagir.
Ce que vous pouvez faire en tant qu'utilisateur est de réduire le nombre de visites sur le commerce et les sites similaires. Ce n'est pas que le bug affecte uniquement les sites de commerce. Il est égal pour tous les types de sites Web qui utilisent OpenSSL. Je dis d'éviter les sites de commerce pendant un certain temps car ils seraient la cible principale des pirates qui voudraient les détails de votre carte, etc. Cela signifie que la cible principale des pirates serait les sites de commerce électronique utilisant OpenSSL.
Une fois que vous recevez un message/rapport que le bogue est corrigé, vous pouvez continuer comme vous le faisiez avant que le bogue ne soit découvert. OpenSSL a créé un correctif et l'a publié pour les propriétaires de sites Web afin de sécuriser les données de leurs utilisateurs. Jusque-là, essayez d'éviter les sites où vous devez fournir vos données sous quelque forme que ce soit - même les identifiants de connexion. Je suis sûr que presque tous les webmasters doivent demander le patch mais il y a toujours un problème. Une fois que vous êtes sûr qu'il n'y a pas de vulnérabilités ou que de telles vulnérabilités ont été corrigées, il peut être judicieux de changer vos mots de passe.
Pendant ce temps, utilisez ces extensions de navigateur pour vous avertir des sites Web affectés par Heartbleed.
Les certificats de site copiés via Heartbleed doivent être traités
Il y a de fortes chances que les certificats de sécurité des sites Web aient été copiés pour créer des sites Web malveillants. Étant donné que les certificats de sécurité sont des copies générales, vos navigateurs peuvent ne pas faire la différence. C'est toi qui dois rester prudent. Évitez de cliquer sur les liens et tapez plutôt l'URL du site Web dans la barre d'adresse afin de ne pas être redirigé vers un faux site.
Ce problème peut être résolu de deux manières :
- Les navigateurs disponibles sur le marché doivent être suffisamment intelligents pour identifier les certificats copiés et vous alerter.
- Les webmasters changent les certificats après avoir appliqué le patch.
En d'autres termes, la mise en œuvre ci-dessus prendra un certain temps même si les webmasters appliquent le correctif. Je voudrais réitérer que ne cliquez pas sur les liens dans les e-mails ou les sites Web non réputés. Tapez simplement l'URL dans la barre d'adresse ou si le site d'origine est mis en signet, utilisez le signet.
La section Références à la fin de cet article contient une liste incomplète des sites Web concernés. Incomplet car il peut y avoir plus de sites Web concernés que ceux qui y sont répertoriés.
Les références:
- Saignement cardiaque : site Web
- OpenSSL : avis de sécurité pour les saignements cardiaques
- Git Hub : liste des sites Web concernés.
