Depuis le début de la semaine, la faille de sécurité heartBleed remue le web. Je vous aide à faire le point sur ce qu’il faut faire et ne pas faire.
Tout d’abord, c’est quoi HeartBleed ?
C’est simplement le nom donné à une faille de sécurité touchant OpenSSL 1.0.1 à 1.0.1f et 1.0.2 beta. Elle secoue le web et à juste titre car elle touche votre sécurité et celle de vos données personnelles en effet lorsque vous vous connectiez à un site pour par exemple payer votre commande vous utilisez le protocole SSL vous passiez donc d’une page http à une page https. Le « s« , souvent accompagné d’un petit cadenas, vous indiquiez que votre page était cryptée. Cette faille permet maintenant de voir en clair votre mot de passe ou vos numéros de cartes bancaires. Il peut même imiter un certificat de sécurité et vous faire croire que vous surfez sur un site sécurisé. Vous comprenez donc maintenant pour HeartBleed secoue le web.
Mais alors que faire? faut-il changer ses mots de passe?
De votre côté il n’y a rien à faire. Une version 1.0.1g d’openSSL a été publié, il ne reste plus qu’à attendre que les propriétaires de site et de serveurs applique le patch correctif. Les réseaux sociaux, les banques en lignes, les hébergeurs de fichiers, … (soit plus d’un demi millions de sites) étant eux aussi touchés, il ne faut surtout pas vous y connecter tant que le patch n’a pas été appliqué. Beaucoup de site, vous recommande de changer vos mots de passe par précaution, au contraire, n’en faites rien. Car non seulement cela ne servira à rien si le site est vulnérable, mais en plus, si vous étiez passé inaperçu jusqu’à présent, vous vous exposeriez inutilement. Patientez sagement que tout rendre dans l’ordre.
Si vous recevez un mail vous demandant de changer votre mot de passe, ne cliquez surtout pas les liens de ce mail. Suite à la publication de cette faille, les pirates pourraient en profiter pour lancer une grande campagne de phishing et ainsi profitez de la panique générale pour voler encore plus de données.
En résumé, Heartbleed est une faille importante, mais il ne faut pas pour autant céder à la panique. un correctif est déjà en déploiement et il ne s’agit qu’une question de jour avant que cette faille ne devienne une histoire ancienne.