Vidéo: Heartbleed Exploit - Discovery & Exploitation (Novembre 2024)
Cette semaine, nous avons appris qu'une bibliothèque de chiffrement populaire était totalement vulnérable aux attaques depuis deux ans. Le bogue, nommé "Heartbleed" par ses découvreurs, permet aux cybercrooks de subvertir le service Heartbeat qui maintient une connexion sécurisée ouverte entre deux ordinateurs. Une fois qu’ils sont entrés, ils peuvent voler des clés de sécurité, des identifiants de connexion et toutes les données cryptées. Pire encore, une telle attaque ne laisse aucune trace.
Personnellement, vous ne pouvez rien faire pour résoudre le problème. Les propriétaires de serveurs exécutant le logiciel vulnérable doivent prendre des mesures. En particulier, ils doivent mettre à jour la dernière version non vulnérable, révoquer toutes les clés de sécurité du site, puis les réémettre. Cependant, vous pouvez faire quelque chose à propos de vos mots de passe exposés. changez-les tous!
Qui est vulnérable?
Il est vrai que tous vos sites sécurisés ne sont pas vulnérables, bien que les experts estiment que jusqu'à deux tiers des serveurs sont susceptibles d'avoir le bogue. Vous pouvez vérifier n'importe quel domaine en utilisant ce test. Le test proposé par LastPass donne encore plus d’informations. Par exemple, un site qui utilise OpenSSL et a régénéré ses certificats de sécurité au cours des deux derniers jours a peut-être déjà été vulnérable.
Vous voudrez parcourir et tester tous les sites Web sécurisés que vous utilisez. Prenez note de ceux qui sont actuellement vulnérables. vous devrez les revoir. En fait, réfléchissez bien aux plus vulnérables. Avez-vous vraiment besoin de les utiliser? Sinon, envisagez d'effacer votre profil et toutes les autres informations et de fermer le compte.
Changez-les tous!
Peu importe que votre mot de passe actuel soit "mot de passe" ou "C5H8 & bY! 6BDB6g66rRWJ". Peu importe sa force, les malfaiteurs peuvent le sortir de la mémoire du serveur buggy. Quel que soit le mot de passe, ils l'ont, avec votre nom d'utilisateur et toutes les données sécurisées que vous avez transmises. En outre, tous les autres sites sur lesquels vous avez utilisé le même mot de passe sont également exposés.
Vos sites sécurisés appartiennent à trois catégories: ceux qui sont toujours vulnérables, ceux qui étaient vulnérables dans le passé et ceux qui ne l'ont jamais été. Il est absolument essentiel de changer votre mot de passe pour ceux qui étaient vulnérables par le passé. Cela ne pourrait pas nuire de changer ceux qui semblent ne jamais avoir été vulnérables, surtout parce que vous ne pouvez en être sûr. En ce qui concerne les personnes qui restent vulnérables, vous devrez les modifier à nouveau, mais en effectuant un balayage complet maintenant et en vous assurant de ne pas dupliquer les mots de passe, vous faciliterez cette deuxième série de mises à jour de mots de passe.
Comment faire
Aller en ligne sans gestionnaire de mot de passe est une entreprise risquée. Si vous n'en utilisez pas déjà un, c'est le moment de commencer. Le choix des éditeurs LastPass est gratuit. Dashlane, également un CE, ne coûte que 19, 99 $ par an.
LastPass et Dashlane proposent tous deux un rapport d'analyse des mots de passe qui identifie les mots de passe faibles et dupliqués. À partir du rapport, vous pouvez cliquer sur un lien pour visiter un site et changer le mot de passe. le gestionnaire de mots de passe prendra en charge le changement. Ne prenez pas la peine de chercher un mot de passe. Laissez le gestionnaire de mots de passe générer quelque chose que personne ne pourrait deviner.
Notre propre Jill Duffy rapporte qu’elle a résolu le problème de son mot de passe en cinq semaines, avec l’aide de Dashlane. La nouvelle de Heartbleed exige un peu plus d'urgence. Je vous conseillerais de remplacer tous vos mots de passe par des nouveaux et uniques, dès que possible.
Ce n'est pas fini
Changer le mot de passe sur les sites toujours vulnérables au bogue Heartbleed garantit au moins que vous n'exposez pas d'autres sites utilisant le même mot de passe. Cependant, le tout nouveau mot de passe est totalement à risque. Si possible, éloignez-vous de ces sites jusqu'à ce qu'ils soient réparés. Et quand ils le font, changez encore le mot de passe. Au moins, votre fidèle gestionnaire de mots de passe vous aidera à faire le travail.
