Vidéo: Heartbleed Exploit - Discovery & Exploitation (Novembre 2024)
Le conseil le plus courant pour les utilisateurs finaux dans tout le buzz entourant la vulnérabilité de Heartbleed dans OpenSSL était de réinitialiser les mots de passe utilisés pour les sites Web sensibles. Mettant de côté le fait que ce n’est peut-être pas le meilleur conseil, les utilisateurs doivent être attentifs aux éventuelles attaques de phishing en cours de route, ont averti les experts en sécurité.
Des chercheurs en sécurité ont dévoilé les détails de la vulnérabilité Heartbleed plus tôt cette semaine et les administrateurs de serveur et les fournisseurs de services du monde entier s’efforcent de vérifier leurs systèmes et de la résoudre au plus vite. Comme discuté ici sur SecurityWatch et PCMag.com, le bogue logiciel peut être exploité pour saisir des bits d'informations aléatoires dans la mémoire de l'ordinateur, ce qui pourrait entraîner une fuite de clés privées, de données sensibles et de certificats.
Compte tenu de l’intérêt suscité par le sujet alors que les chercheurs découvrent l’ampleur du problème et ses implications, il est très probable que des attaques de phishing se font passer pour des notifications de réinitialisation de mot de passe. Il est facile d’imaginer des cybercriminels et d’autres fraudeurs se frottant joyeusement les mains lorsqu’ils planifient des attaques avec ferroutage.
Ne cliquez pas!
Certaines organisations ont déjà corrigé leurs systèmes et cherchent de manière proactive les clients à leur conseiller de modifier leurs mots de passe. Malheureusement, SecurityWatch a constaté au moins deux cas où le courrier électronique incluait un lien cliquable conduisant les utilisateurs au site pour réinitialiser le mot de passe. Et quelle est la première règle pour éviter les attaques de phishing? Disons-le ensemble: ne cliquez pas sur les liens dans les emails!
Comme nous l'avons vu avec de faux emails PayPal et bancaires, il est facile de créer des en-têtes et de créer des emails très réalistes. Les utilisateurs du site peuvent également ressembler à la réalité.
Pour être juste, les gens reconnaissent de plus en plus que les courriels de réinitialisation de mot de passe sont potentiellement malveillants. Cependant, les préoccupations concernant Heartbleed peuvent tromper même les utilisateurs les plus prudents. "Si vous pensiez 'Hey, je devrais peut-être changer mon mot de passe example.com , juste au cas où', puis un email arrive prétendant provenir de example.com et vous emmener vers un écran de connexion qui ressemble à exemple.com. … vous pourriez être pardonné de ne pas avoir suivi l’habitude et essayé de vous connecter, "a écrit Paul Ducklin, évangéliste de la sécurité chez Sophos, sur le blog Naked Security.
Les règles de sécurité s'appliquent toujours
Oui, Heartbleed est grave et aura des conséquences sur la sécurité Internet pour les mois et les années à venir. Mais cela ne signifie pas que nous oublions toutes les leçons sur la reconnaissance des spams et des emails de phishing. Méfiez-vous des courriels non sollicités que vous recevez, même s'ils proviennent d'entreprises avec lesquelles vous êtes familier. Si l'e-mail vous demande de cliquer sur un lien à l'intérieur des messages pour réinitialiser votre mot de passe, réprimez-le. Visitez manuellement le site Web et lancez la réinitialisation du mot de passe directement à partir du site.
Si les entreprises s'arrêtaient pour examiner les implications en matière de sécurité et ne mettaient pas de liens vers la page de connexion dans le courrier électronique lui-même, cela serait beaucoup plus sûr pour les clients car ils n'auraient pas l'habitude de cliquer sur les liens, a expliqué Ducklin. "Si aucun site légitime ne met jamais de lien de connexion dans sa correspondance par e-mail, il devient alors trivial de décider si les liens de connexion sont bons ou mauvais. Ils sont mauvais, et c'est tout", a-t-il déclaré.
De nombreux conseils conseillent aux utilisateurs de modifier leurs mots de passe partout. Au lieu de cela, vous ne devriez changer les mots de passe que sur les sites qui ont confirmé avoir corrigé la faille Heartbleed. N'importe quoi d'autre pourrait en réalité augmenter les chances que vos informations personnelles soient capturées, avertit Ducklin.
