Arobase.org le guide de l'e-mail
Utilisateurs de Gmail, de Yahoo Mail (et accessoirement de Facebook), avez-vous changé vos mots de passe ? La vulnérabilité logicielle Heartbleed, révélée début avril, a dit-on mis en péril la sécurité de vos comptes. Qu’en est-il vraiment ?
Que s’est-il passé exactement ?
L’évènement a fait le tour des sites d’information et des journaux télévisés. Le 7 avril dernier, une importante faille dans la sécurisation des échanges sur Internet a été découverte. Baptisée Heartbleed (« cœur qui saigne » : les informaticiens peuvent être poètes), elle résulte d’un bug affectant la bibliothèque logicielle OpenSSL, un ensemble de code informatique qui permet la prise en charge du chiffrement SSL et TLS sur les serveurs Web (signalé par un cadenas et le « https » dans votre navigateur). En clair, avec Heartbleed, la confidentialité des connexions n’est plus garantie : il est possible d’intercepter par exemple vos mots de passe.
Quels sites sont concernés ?
La faille touche tous les sites Internet – messageries, sites marchands ou banques – qui utilisent le logiciel OpenSSL pour sécuriser les connexions avec les internautes. 66% des sites sur le Web sont potentiellement concernés. Et parmi eux Facebook, Google, Yahoo, Darty et Ebay. Enorme.
La faille a-t-elle été exploitée ?
Sitôt identifiée, la vulnérabilité a été corrigée. Le 7 avril, un patch a été livré et nombre de services informatiques se sont empressés de l’appliquer. Cependant, personne ne sait si la faille, présente dans OpenSSL depuis 2 ans, a été exploitée par des hackers : il n’est en effet pas possible de repérer les traces de piratage. Il faut cependant relever que le 17 avril dernier, un internaute a été arrêté pour s’être introduit sur un site de l’administration fiscale canadienne et avoir subtilisé 900 numéros de sécurité sociale. Le risque n’est donc pas nul.
Faut-il changer ses mots de passe ?
Dans le doute, les spécialistes de sécurité conseillent de changer les mots de passe des sites qui ont été affectés et qui ont depuis corrigé la faille. Cela concerne, entre autres, parmi les messageries Gmail et Yahoo Mail. Ainsi que Facebook, Instagram, Pinterest, Tumblr, Dropbox, Leboncoin ou SoundCloud (vous trouverez une liste des sites sur Clubic ou Mashable). Notez que Outlook.com / Hotmail et AOL ne sont pas concernés.
Aucun site majeur n’a jugé utile d’inciter ses utilisateurs à changer de mot de passe. Ni Gmail, ni Yahoo, ni Facebook. Mais cela ne vous dispense pas d’être prudent.
En pratique, que devez-vous faire ?
Nous vous insistons régulièrement ici sur la nécessité de choisir de bons mots de passe, de ne pas utiliser le même mot de passe sur tous les sites et d’en changer régulièrement (allez donc potasser notre page Bien choisir son mot de passe ). Profitez donc de cette alerte pour mettre en place de bonnes pratiques.
Nous vous conseillons fortement de changer vos mots de passe sur Gmail et sur Yahoo Mail ainsi que sur Facebook, si vous disposez de comptes sur ces services. Pour bien faire, vous devriez d’abord vous déconnecter puis vous reconnecter des différentes plateformes, afin d’avoir une connexion SSL à jour, avant de changer de mot de passe.
Et profitez-en pour activer la double authentification sur Gmail ou sur Facebook, pour renforcer la sécurité de votre compte.
A vous de prendre vos responsabilités !
Consultez notre dossier Bien choisir son mot de passe !
Twitter
Facebook
LinkedIn
Heureusement qu’arobase.org est là pour m’informer ! Je suis en permanence à l’écoute des journaux télévisés, radios, etc… et je n’en ai pas entendu parler.