Les 1000 premiers sites les plus visités du web sont protégés contre la vulnérabilité Heartbleed. Mais sur le premier million de sites, 2 % d'entre eux n'ont pas encore corrigé le problème.
Research and publish the best content.
Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
Already have an account: Login
Cybersécurité - Innovations digitales et numériques
38.5K views |
+0 today
Vous trouverez dans ce thème des actualités, en France et dans le monde, sur les innovations digitales et numériques, en passant par la cybersécurité ou confiance numérique, l'informatique en nuage, les mégadonnées ainsi que le management des services et de projet
Curated by
Stéphane NEREAU
 Your new post is loading...
Your new post is loading...
Scoop.it!
Une faille présente dans un dispositif de sécurité utilisé par de nombreux sites permet d'accéder à de nombreuses données sensibles d'internautes, comme les mots de passe.
Stéphane NEREAU's insight:
Dans un monde idéal, il faudrait éviter les activités sensibles (courriels, banque, achats...) sur Internet pendant quelques temps. C'est ce que recommande par exemple un billet publié sur le site de Tor, un système d'anonymisation sur Internet. Dans un premier temps, pour les utilisateurs lambda, changer de mot de passe est inutile, et peut même être contre-productif. En effet, si la faille d'OpenSSL n'est pas corrigée sur le site, le nouveau mot de passe pourra être visible à son tour. Il faut donc, avant tout, attendre que les responsables des sites vulnérables mettent à jour leurs dispositifs de sécurité. Puis, pour l'utilisateur, relancer le site ou le service pour que ces nouvelles protections s'appliquent. Il est conseillé de surveiller, dans les prochains jours, les annonces des sites que vous utilisez afin de s'assurer qu'ils prennent les mesures nécessaires. En cas de doute, le site Filippo.io/Heartbleed permet de tester si un site est vulnérable ou non. Une liste (non exhaustive) est disponible ici. En revanche, certaines mesures nécessaires ne sont pas détectées par ce site, comme le renouvellements des certificats ou des mots de passe des administrateurs. Enfin, soyez particulièrement vigilants quant aux courriels que vous recevrez dans les prochains jours. Certains adeptes du phishing (vous faire croire que vous allez sur le site de votre banque, par exemple, alors qu'il s'agit d'un site pirate), pourrait utiliser certaines des données interceptées pour vous cibler. 
Scoop.it!
Un développeur allemand est à l’origine de la faille de sécurité OpenSSL. Mais il assure ne pas l’avoir introduit de manière délibérée, et encore moins pour une agence de renseignement.
Stéphane NEREAU's insight:
Interrogé par le Sydney Morning Herald, il explique avoir participé au développement du protocole OpenSSL il y a deux ans. « J’ai corrigé beaucoup de bogues et introduit de nouvelles fonctionnalités. Malheureusement, dans une de ces fonctionnalités, j’ai oublié de vérifier une variable qui contenait une longueur [d’un message protocolaire, ndlr] », explique-t-il. Or, c’est justement cette non-vérification qui est à l’origine de l’énorme faille « Heartbleed » (une bonne explication technique est disponible sur le blog de Lexsi).
|
Scoop.it!
Lundi 7 avril une faille de sécurité à été découverte dans certaines versions du logiciel OpenSSL, sur lequel s’appuie une grande partie de la sécurité du Web. L’article 34 de la loi Informatique et Libertés impose une obligation de sécurisation des données à caractère personnel. La CNIL fait le point sur les conséquences de cette faille et les actions à mettre en œuvre.
Stéphane NEREAU's insight:
Heartbleed et après ?
Scoop.it!
Imaginez que soudain, avenues, boulevards et autres rues deviennent soudain des champs de mines invisibles susceptibles d'exploser à la moindre pression. Eh bien c'est à peu près ce qui arrive en ce moment à une grande partie du Web.
Stéphane NEREAU's insight:
En clair, il est urgent d'attendre un peu plus de transparence de la part de tous les services que l'on utilise au quotidien afin de savoir s'ils sont affectés ou non par la vulnérabilité, s'ils ont corrigé le problème et enfin déterminer s'il faut ou non changer ses mots de passe. Nos confrères de Mashable se sont par ailleurs déjà fendus d'une liste conseillant aux utilisateurs de Facebook, Tumblr, Google et Yahoo d'en passer par là au plus vite.
Scoop.it!
Un bug dans le protocole OpenSSL permet d’accéder aux échanges cryptés d’un grand nombre de services en ligne : messageries, banque en ligne, VPN, chat... Même le réseau d’anonymisation Tor est concerné.
Stéphane NEREAU's insight:
Toutefois, même en mettant à jour tous les systèmes, on ne pourra pas réparer le mal qui a été fait (s’il a été fait). Les cyberfilous qui ont réussi à mettre la main sur des clés de chiffrement SSL puis enregistrer tous les échanges pendant quelques mois (ce que fait la NSA par exemple), ont tout le temps pour déchiffrer tranquillement toutes ces données.
|
Le 7 avril, le projet OpenSSL a livré un correctif pour patcher ce bug, et nombre de services informatiques se sont précipités pour corriger le logiciel sur les serveurs et dans certains systèmes d'exploitation client. « Le 17 avril, une grande majorité des serveurs exposés avait été corrigés », avait déclaré Sucuri Security dans un billet de blog ce jour-là. Mais, si la totalité des 1000 premiers sites classés par Alexa étaient à l'abri, Sucuri a trouvé de plus en plus de sites exposés au fur et à mesure qu'elle élargissait son balayage. Ainsi sur les 10 000 premiers sites, 0,53 % étaient vulnérables, sur les 100 000 premiers, le taux passe à 1,5 %, et sur le premier million, Sucuri arrive à 2 % de sites vulnérables.