Faille de sécurité HeartbleedDes données exposées
Une faille de sécurité sans précédent nommée Heartbleed (« cœur qui saigne ») touche Facebook, Yahoo, Google et bien d’autres sites Internet. Potentiellement, les données personnelles stockées sur ces sites pourraient avoir été dérobées par des pirates. Même s’il est impossible de connaître l’ampleur réelle du phénomène, les particuliers doivent réagir.
Chaque jour ou presque, des failles de sécurité sont découvertes. Mais celle qui a été découverte la semaine dernière est d’une toute autre ampleur. Jamais une erreur de programmation n’avait ouvert autant de portes aux pirates. Car Heartbleed (c’est son nom) a deux particularités. D’une part, elle n’affecte pas un serveur en particulier, mais OpenSSL, un utilitaire de chiffrement des données utilisé par des milliers de sites Internet à travers le monde. Surtout, Heartbleed donne potentiellement accès aux clés de chiffrement destinées à protéger les données que les sites échangent avec leurs utilisateurs. Dans ces conditions, rien ne dit que des pirates n’aient pas dérobé les données personnelles stockées sur les serveurs des sites utilisant OpenSSL. C’est le cas entre autres de Facebook, Google, Yahoo, mais aussi de Youtube, Pinterest, Tumblr, Instagram et de bien d’autres sites. Plus inquiétant encore, dans le cas où un pirate se serait emparé des clés de chiffrement, il pourrait continuer à accéder aux données des serveurs, même une fois le patch de sécurité mis en place. « C’est un peu comme une serrure dont la clé aurait été répliquée, décrypte pour nous le responsable d’un laboratoire spécialisé dans la sécurité Internet. On a beau refermer la porte, celui qui détient la copie de la clé peut toujours l’ouvrir ».
Le principe de précaution
Personne ne sait à l’heure actuelle si la faille Heartbleed a été exploitée et si des données ont été dérobées. Dans le doute, chacun doit réagir. Même si ce n’est pas une garantie totale de sécurité, modifier les mots de passe des sites touchés est un passage obligé. Pour vous aider à les repérer, le site Mashable.com en fait la liste (page en anglais). Notre laboratoire spécialisé dans les tests d'antivirus et de suite de sécurité conseille aussi d’y retirer les éventuelles données bancaires qui s’y trouveraient et même d’éviter de s’y connecter tant que le site n’a pas indiqué que le problème était résolu. Cette information risque toutefois d’être compliquée à obtenir : par crainte pour leur image, les sites Internet ont souvent tendance à cacher ce genre de renseignements. Dernier conseil : méfiez-vous plus que jamais des e-mails que vous recevrez. Des personnes mal intentionnées pourraient se faire passer pour Facebook ou Google et, sous prétexte d’améliorer la sécurité, vous demander vos identifiants et vos mots de passe. Cette technique appelée phishing (ou hameçonnage) reste très prisée des pirates.
QueChoisir.org épargné
Vous êtes abonné au site Internet de Que Choisir ? Pas de panique. QueChoisir.org n’utilisant pas OpenSSL, notre serveur n’est pas affecté par Heartbleed. Il est dès lors inutile de modifier votre mot de passe.