le bug Heartbleed


La panique s’est emparée de nombreux sites web le 8 avril. C’est une vulnérabilité de sécurité de grande envergure qui a même touché le système informatique utilisé par l’Agence de Revenu Canada qui a dû fermer son site au complet durant une semaine.

Connu sous le bug Heartbleed, cette faille de sécurité a rendu accessible aux hackers les informations, normalement chiffrées, de nombreux sites web qui utilisent la bibliothèque de cryptage OpenSSL.

OpenSSL est composé de deux bibliothèques logicielles très utilisées sur Internet pour assurer le cryptage des communications. Une grande majorité de sites, estimée à près des deux tiers du web, s'en sert pour sécuriser son trafic. Cela inclut les réseaux sociaux, les webmails, les sites de vente en ligne, mais aussi ceux des banques, des entreprises et même des gouvernements.

Près des deux tiers du web utilise OpenSSL pour sécuriser son trafic. Sont concernés les sites de messagerie, de certains réseaux sociaux, de vente en ligne, mais aussi ceux des banques, des entreprises et même des gouvernements, ainsi que de nombreuses distributions comme Linux Ubuntu, etc. 

Des sites très visités, et qui se sont retrouvés complètement vulnérables. Les implications de cette vulnérabilité sont donc sans précédent, et vu le nombre de serveurs concernés, il faudra certainement de nombreux mois avant que la plupart des sites ne soient protégés. 

Certaines entreprises Internet qui étaient vulnérables au bug ont déjà mis à jour leurs serveurs avec un correctif de sécurité pour résoudre le problème. Cela signifie que vous aurez besoin d'aller dans vos paramètres de compte et de modifier immédiatement votre mot de passe pour ces sites. Même cela n'est pas garanti que votre information n’ait pas été déjà compromise, mais il n'y a aucune indication que les pirates savaient l'exploit avant cette semaine. 

Voici une liste non-exhaustive des entreprises les plus connues par ici qui conseillent à leurs clients de changer leurs mots de passe par mesure de précaution : 

Facebook       Instagram        Pinterest        Google            Gmail

Yahoo             Yahoo mail       Flickr              Netflix            Soundcloud

Youtube         Dropbox            Tumblr          Wikipédia (seulement si vous avez un compte). 


Quoi faire?

Nous vous recommandons de mettre à jour votre mot de passe sur les sites sensibles, en particulier si vous utilisez le même mot de passe sur plusieurs sites, ce qui n’est pas une bonne idée. 

Mais avant, vous devriez supprimer les anciennes clés, fichiers temporaires, certificats et les fameux cookies de session, ce que l’on appelle vider la mémoire cache.

Voici comment le faire : 

·    Avec Chrome, il faut cliquer sur le menu en haut à droite; Paramètres, Confidentialité, Effacer les données de navigation et Paramètres de contenu. 

·        Avec Internet Explorer : menu Outils et Supprimer l’historique de navigation. 

Il s'agira ensuite, et seulement ensuite, pour les utilisateurs de changer leurs mots de passe et autres identifiants.


Conseils pour vous créer des mots de passe robustes:


Il est toujours préférable de ne pas utiliser le même mot de passe pour tous vos services et d'en avoir des différents. Ainsi, si quelqu'un réussit à avoir vos accès, ce ne sont pas tous vos services qui seront touchés.


Un bon truc est d'utiliser uniquement la première lettre de chaque mot d'une phrase facile à mémoriser et d'y ajouter d'autres éléments. Un bon mot de passe doit être idéalement composé d'au moins trois (3) des éléments suivants: des lettres majuscules, des minuscules, des chiffres et des caractères spéciaux. 


Avec une combinaison du genre, il est presque impossible qu'un fraudeur la devine et ça prendra des billions de tentatives pour un logiciel avant de «cracker» votre mot de passe.


Conclusion 

Bien que la modification de votre mot de passe régulièrement soit toujours une bonne sécurité, si un site ou un service n'a pas encore patché le problème, votre information sera toujours vulnérable. 

Comme toujours, votre sécurité est notre priorité et nous continuerons à surveiller la situation et de mettre à jour nos informations.

 

La vedette de la semaine 

J’ai passé une très belle fin de semaine à mon kiosque au Salon 50+ et Jeux FADOQ. Plus de 800 personnes sont passées me voir pour s’informer et remplir un billet de participation. C’est le nom de Mme Monique Pruneau qui a été tiré au hasard pour gagner la tablette numérique Dell, une commandite du Centre informatique l’Ordi Nation, que je remercie. 

Près de 100 personnes ont également assisté à mes trois conférences de vulgarisation sur les technologies informatiques. Lors de l’activité Présentez-nous votre application favorite, une participante nous a présenté Héritage qui a été créé par la base de données photographique libre Fotopedia. Heritage est une très belle application gratuite pour iPhone, iPad et Androïd est comme un gros livre de photos que l'on pourrait feuilleter à l'infini. Il contient plus de 20.000 photos regroupées autour de 3.000 points d'intérêt, dont 890 lieux classés au patrimoine mondial de l'humanité par l'UNESCO, partenaire de l'application, Célébrez la beauté de notre planète en la téléchargeant aujourd’hui!

 

Sources

Chronique de François Charron.com

100 applications cloud d’entreprise concernées par le bug Heartbleed

Pourquoi Heartbleed fait trembler les deux tiers du web

List Heartbleed: Les mots de passe que vous devez changer 

Appelez-moi! Je suis certain que je peux vous aider

Sylvain Gagnon (418-720-7081)