Faille Heartbleed : les sites pour lesquels il est conseillé de changer son mot de passe

Deux jours après la révélation d'une faille de sécurité au sein du protocole OpenSSL, baptisée « Heartbleed », cette dernière est décrite par certains comme « le pire cauchemar » qui puisse arriver concernant la sécurité des échanges sur Internet.

Le logiciel libre OpenSSL est installé sur les serveurs de très nombreux sites pour établir des connexions chiffrées et sécurisées entre ce dernier et ses utilisateurs. De très nombreux sites Internet utilisent OpenSSL pour sécuriser leurs échanges. Cette précaution est repérable, par exemple, lorsqu'un verrou s'affiche au moment d'un paiement en ligne, ou lorsque l'URL d'un site commence par « https » (le « s » signifiant « sécurisé »).

Le bug Heartbleed (dont l'origine se trouve être une erreur de programmation d'un développeur allemand) permet, en théorie, à des pirates informatiques de pouvoir récupérer un grand nombre d'informations sur les utilisateurs des sites utilisant ce protocole de sécurité (leurs identifiants et mots de passe, leurs codes de cartes bancaires, etc.).


L'ampleur des dégâts causés n'est pas connue, personne n'ayant réussi à dire pour le moment si des pirates ont découvert ce bug avant son identification par des ingénieurs et l'alerte mondiale lancée lundi 7 avril. Cette dernière précise que le bug est présent dans toutes les versions des logiciels OpenSSL sorties depuis mars 2012. Et que son exploitation par des personnes mal intentionnées ne laisse aucune trace.

MISE À JOUR DE NOMBREUX SITES

Beaucoup de sites concernés par le problème ont, depuis l'annonce, dit avoir effectué la mise à jour nécessaire pour combler la faille de sécurité. Cela signifie que les utilisateurs de ces sites, dont les données ont pu être avant cela accessibles aux pirates en raison de Heartbleed, peuvent désormais changer leurs identifiants et leurs mots de passe. Cela afin d'être sûr que personne ne puisse se servir des données qui auraient pu être obtenues en exploitant le bug, entre mars 2012 et le 7 avril.
« Si des personnes se sont identifiées sur un de ces services pendant un moment où il était vulnérable, il y a un risque pour que le mot de passe ait été récolté. C'est une bonne idée de changer ses mots de passe sur tous les portails qui ont fait la mise à jour d'OpenSSL », assure un expert en sécurité informatique à la BBC.

Parmi les sites ci-dessous, plusieurs ont d'ailleurs explicitement demandé à leurs utilisateurs de mettre à jour leurs informations d'identification. D'autres ont simplement dit avoir comblé la faille de sécurité, sans préciser s'il fallait ou non changer ses identifiants.

Puisque, de l'aveu même des ingénieurs de Google ayant découvert Heartbleed, « l'exploitation de ce bug [par des pirates] ne laisse aucune trace anormale » et est indétectable, nous vous conseillons de créer un nouveau mot de passe (qui ne soit pas « motdepasse » ou « 123456 ») pour tous les sites ayant annoncé avoir fait une mise à jour d'OpenSSL.

  • Facebook. Selon la déclaration du réseau social à Mashable : « Nous avons protégé notre protocole OpenSSL avant que le problème ne soit rendu public [grâce à des informations partagées directement par des ingénieurs de Google travaillant sur OpenSSL]. Nous n'avons pas détecté d'activités suspectes sur des comptes Facebook liées à ce bug. Néanmoins, nous encourageons les utilisateurs de profiter de ce moment pour mettre en place un nouveau mot de passe unique pour Facebook. »
  • Google, et plus précisément ses applications Gmail, YouTube, Wallet, Play« Nous avons évalué la vulnérabilité d'OpenSSL et avons décidé d'appliquer un patch de sécurité aux services-clés de Google, comme la recherche, Gmail, YouTube, Wallet, Play, Apps, et App Engine », déclarent les équipes de sécurité de Google sur leur blog.
  • Yahoo!, dont les services Yahoo Mail, Flickr et Tumblr sont concernés, dit que « les corrections appropriées ont été apportées à tout le portail ». Les équipes de Tumblr poussent leurs utilisateurs à changer tous leurs mots de passe sur tous les sites Internet.
  • Airbnb et Netflix. The Wall Street Journal rapporte que ces deux services ont mis à jour leur protocole OpenSSL après la publication de l'alerte lundi 7 avril.
  • Dropbox. Le service de stockage en ligne a expliqué avoir fait une mise à jour de sécurité pour tous ses services.
  • Pinterest. « Nous avons réparé le problème sur Pinterest.com et n'avons trouvé aucune preuve de fraude. Néanmoins, pour être prudent, nous avons envoyé à des utilisateurs qui auraient pu être concerné des e-mails pour qu'ils changent leurs mots de passe », ont expliqué les équipes du réseau social à Mashable.
  • Instagram. « Nos équipes de sécurité ont travaillé rapidement pour réparer le problème, et nous n'avons pas trouvé de preuves comme quoi un compte utilisateur avait été affecté. Mais, puisque cet événément a un impact sur de nombreux services, nous recommandons que vous changiez votre mot de passe sur Instagram, particulièrement si vous utilisez le même sur d'autres sites », peut-on lire sur Mashable.
  • Twitter. Le réseau social assure que « ses serveurs et ses API n'ont pas été affectés par la vulnérabilité », mais a néanmoins déclaré à Mashable avoir mis à jour ses protocoles OpenSSL.
  • Ou encore, selon les informations récoltées par Mashable, les sites Etsy, GitHub, IFTTT, le jeu vidéo Minecraft, le service de rencontre OKCupid, SoundCloud.
Note : cette liste est susceptible d'être mise à jour, des services comme WordPress ayant dit qu'ils étaient toujours en train d'appliquer les correctifs adéquats.

Commentaires