Qu'est-ce que le bogue Heartbleed et comment se protéger et rester en sécurité?

Table des matières:

Qu'est-ce que le bogue Heartbleed et comment se protéger et rester en sécurité?
Qu'est-ce que le bogue Heartbleed et comment se protéger et rester en sécurité?

Vidéo: Qu'est-ce que le bogue Heartbleed et comment se protéger et rester en sécurité?

Vidéo: Qu'est-ce que le bogue Heartbleed et comment se protéger et rester en sécurité?
Vidéo: Microsoft Surface RT : la tablette en fonctionnement - YouTube 2024, Mars
Anonim

Près de 70% du trafic sur Internet emploie OpenSSL pour sécuriser les transferts de données. Cela se traduit par la quasi-totalité des principaux serveurs (sites Web) qui utilisent OpenSSL pour sécuriser vos données telles que les informations de connexion. Cependant, une personne de Google a découvert un bogue dans OpenSSL - une erreur de programmation mineure, mais suffisamment importante pour donner vos données à des pirates - des personnes prêtes à utiliser vos données à leurs propres fins. Ce bogue OpenSSL est nommé Heartbleed car il est étroitement lié à une couche OpenBLL HeartBeat.

Qu'est-ce que le bug Heartbleed?

La plupart des serveurs acceptent les données cryptées, les décodent à l'aide des clés de cryptage et les transfèrent pour traitement. Étant donné que la plupart des serveurs utilisent la méthode FIFO (premier entré, premier sorti) pour servir les utilisateurs finaux, les données (après le déchiffrement) restent dans la mémoire du serveur pendant un certain temps avant que le serveur ne les prenne pour un traitement ultérieur.
La plupart des serveurs acceptent les données cryptées, les décodent à l'aide des clés de cryptage et les transfèrent pour traitement. Étant donné que la plupart des serveurs utilisent la méthode FIFO (premier entré, premier sorti) pour servir les utilisateurs finaux, les données (après le déchiffrement) restent dans la mémoire du serveur pendant un certain temps avant que le serveur ne les prenne pour un traitement ultérieur.

Le bogue Heartbleed est un cas d’inquiétude pour presque tous les sites Web commerciaux basés sur Internet et pour d’autres types. Cette erreur de programmation permet aux pirates de s’enregistrer sur n’importe quel serveur utilisant OpenSSL et de lire / sauvegarder / utiliser les données non chiffrées (données déchiffrées). Les pirates informatiques ont désormais non seulement accès à vos données, ils peuvent également reproduire le certificat de site Web, rendant Internet encore plus dangereux. Avec la copie du certificat de site Web, les pirates informatiques peuvent créer des sites similaires: des sites qui ressemblent aux sites d'origine. Ils peuvent ensuite accéder à vos données telles que les détails de votre carte de crédit, vos informations personnelles, etc.

Les sons effrayants, n’est-ce pas? En effet, comme il peut accéder à vos informations et que ces informations peuvent être utilisées à n'importe quelle fin.

Remarque: Heartbleed a également un nom de code CVE-2014-0160. CVE signifie Common Vulnerabilities and Exposures. Ces codes relatifs aux vulnérabilités, etc. sont fournis par MITRE, un organisme indépendant qui garde la trace des bogues et autres problèmes similaires.

Devrais-je mettre à niveau mon anti-virus ou quelque chose

Le bogue Heartbleed dans OpenSSL n’a rien à voir avec votre antivirus ou votre pare-feu. Ce n'est pas un problème côté client, vous ne pouvez donc rien y faire. De l'autre côté, les serveurs doivent appliquer un correctif au système OpenSSL qu'ils utilisent. Cela fait, on peut dire que le site Web est plus sûr pour les interactions.

En tant qu'utilisateur, vous pouvez réduire le nombre de visites sur des sites commerciaux et similaires. Ce n'est pas que le bug affecte uniquement les sites de commerce. Il en va de même pour tous les types de sites Web utilisant OpenSSL. Je dis d'éviter les sites de commerce pendant un certain temps, car ils constitueraient la principale cible des pirates informatiques qui souhaiteraient disposer des détails de votre carte, etc. Cela signifie que les pirates cibleront principalement les sites de commerce électronique utilisant OpenSSL.

Une fois que vous recevez un message / un rapport indiquant que le bogue est corrigé, vous pouvez continuer comme avant. OpenSSL a créé un correctif qu’il a publié pour les propriétaires de sites Web afin de sécuriser les données de leurs utilisateurs. En attendant, essayez d’éviter les sites sur lesquels vous devez fournir vos données sous n’importe quelle forme - même les identifiants de connexion. Je suis sûr que presque tous les webmasters doivent avoir ce correctif, mais il y a toujours un problème. Une fois que vous êtes certain qu'il n'y a pas de vulnérabilités ou que de telles vulnérabilités ont été corrigées, il peut être judicieux de changer vos mots de passe.

En attendant, utilisez ces extensions de navigateur pour vous prévenir des sites Web affectés par Heartbleed.

Les certificats de site copiés via Heartbleed doivent être adressés

Il y a de fortes chances que des certificats de sécurité de sites Web aient été copiés pour créer des sites Web malveillants. Comme les certificats de sécurité sont des copies générales, vos navigateurs peuvent ne pas faire la différence. C'est toi qui dois rester prudent. Évitez de cliquer sur les liens et entrez l’URL du site Web dans la barre d’adresse afin de ne pas être redirigé vers un site factice.

Ce problème peut être résolu de deux manières:

  1. Les navigateurs disponibles sur le marché doivent être suffisamment intelligents pour identifier les certificats copiés et vous alerter.
  2. Les webmasters changent les certificats après l'application du correctif.

En d'autres termes, la mise en œuvre ci-dessus prendra un certain temps, même si les webmasters appliquent le correctif. Je tiens à répéter que ne cliquez pas sur des liens dans des courriels ou des sites Web non réputés. Tapez simplement l'URL dans la barre d'adresse ou, si le site d'origine est marqué par un signet, utilisez le signet.

La section Références à la fin de cet article contient une liste non exhaustive des sites Web concernés. Incomplet car il peut y avoir plus de sites Web affectés que ceux énumérés ici.

Références:

  • Heart Bleed: Site Web
  • OpenSSL: Avis de sécurité pour saignement cardiaque
  • Git Hub: Liste des sites Web concernés.

Conseillé: