Sécurité

Heartbleed : Quels mots de passe devez-vous changer maintenant ? – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Les chercheurs en sécurité sont tous d’accord sur une chose : le bug Heartbleed est probablement la vulnérabilité la plus importante et la plus dangereuse jamais rencontrée sur Internet. Ce qui est étrange à propos de Heartbleed, cependant, c’est qu’en raison de la nature de la vulnérabilité – car cela signifie essentiellement que les pirates pourraient écouter presque tout ce que vous avez fait au cours des deux dernières années – personne ne semble être d’accord sur ce que vous devriez fais pour vous protéger. Changez-vous vos mots de passe ? Ou attendre? Ou faire autre chose entièrement ? Lisez la suite, et je vous le dirai.

Faut-il changer de mot de passe ?

Avant de changer votre mot de passe en raison du bogue Heartbleed, vous devez tenir compte de deux facteurs. Premièrement, le site Web a-t-il été affecté par le bogue Heartbleed en premier lieu ? Deuxièmement, s’il a été affecté, ce site Web a-t-il été installé une nouvelle version d’OpenSSL (qui corrige le bug)et le site Web a-t-il mis à jour ses certificats de sécurité (chiffrement) ?

Si le site Web n’a pas utilisé une version vulnérable d’OpenSSL, vous n’avez pas besoin de changer votre mot de passe. Jusqu’à présent, Microsoft, AOL et LinkedIn ont déclaré qu’ils n’avaient pas utilisé le logiciel incriminé et que vous étiez en sécurité. La seule exception à cette règle est si vous avez utilisé le même mot de passe sur plusieurs sites Web, auquel cas vous devez changer votre mot de passe. (Vous devez toujours utiliser des mots de passe différents pour chaque site Web, mais nous en reparlerons dans la section suivante.)
Logo HeartbleedSi le site Web était vulnérable au bug Heartbleed, la situation est plus complexe. Si le site Web indique qu’il a corrigé le bogue et installé de nouveaux certificats de sécurité, vous pouvez modifier votre mot de passe en toute sécurité. Sinon, vous devez attendre. Si vous changez votre mot de passe sur un site Web encore vulnérable au bogue Heartbleed, votre mot de passe (et d’autres détails sensibles) pourraient toujours être obtenus par des pirates.

Psssssst :  Échapper au pare-feu avec un tunnel SSH, un proxy SOCKS et PuTTY - High-teK.ca

Le problème est que de nombreux fournisseurs de services Web s’efforcent encore de déterminer s’ils sont vulnérables et de déployer des correctifs s’ils l’étaient. En conséquence, plusieurs milliers ou millions de sites Web n’ont pas encore annoncé publiquement s’il est sûr d’utiliser à nouveau leurs services. Parmi les grands fournisseurs de services Web, Yahoo, Google, Facebook et Dropbox étaient tous vulnérables au bug Heartbleed, mais vous pouvez désormais modifier en toute sécurité vos mots de passe pour ces sites et tous les services associés.

Pour les autres sites, le mieux est de visiter le blog ou le fil Twitter du site Web et de rechercher les annonces. Mashable a une liste de quelques sites qui ont annoncé publiquement leur statut de bogue Heartbleed, mais je doute de certaines informations (pas une seule banque n’a admis être vulnérable). Sur Github, vous pouvez trouver une liste de grands sites Web qui étaient vulnérables à Heartbleed il y a quelques joursque vous pouvez utiliser comme point de départ.

LastPass : contrôle de sécurité Heartbleed

LastPass : contrôle de sécurité Heartbleed

Il existe une solution plus simple

Bref, le bug Heartbleed et ses répercussions sont complexe. Au lieu de passer les prochains jours et semaines à vérifier vos sites Web préférés pour voir s’ils ont corrigé la vulnérabilité, il existe une solution plus simple : commencez à utiliser Dernier passage.

LastPass, si vous ne l’avez jamais utilisé auparavant, est le meilleur gestionnaire de mots de passe multiplateforme au monde – et son démarrage est gratuit. LastPass utilise un mot de passe différent pour chacune de vos différentes applications et services Web, de sorte que même si les pirates mettent la main sur un mot de passe, ils ne peuvent pas aller plus loin. Plus important encore, cependant, LastPass inclut désormais un outil qui vérifie tous vos sites Web pour voir s’ils sont vulnérables à Heartbleed et s’ils ont mis à jour leurs certificats de sécurité.

Psssssst :  JailbreakMe montre à quel point les utilisateurs iOS sont vulnérables - High-teK.ca

Si vous utilisez un grand nombre de services Web, il faudra un peu de temps pour basculer tous ces mots de passe vers LastPass Vault, mais cela en vaut la peine. Vraiment, étant donné les pratiques de sécurité de mauvaise qualité de nombreuses grandes entreprises et la régularité choquante du piratage de leurs bases de données, vous devriez utiliser un gestionnaire de mots de passe comme LastPass si vous vous souciez de votre sécurité et de votre confidentialité en ligne.

Bouton retour en haut de la page