Vidéo: Quelle est la meilleure mob ? (Novembre 2024)
Les nouvelles de cette semaine ont été dominées par les discussions sur le bogue Heartbleed, qui permet aux pirates de récupérer des données directement dans la mémoire des serveurs sécurisés affectés. Les données capturées peuvent inclure des clés de cryptage, des mots de passe et toutes les données envoyées via un canal HTTPS supposé sécurisé. Le bogue existe depuis plus de deux ans et, comme l'attaque ne laisse aucune trace, nous ne savons pas à quel point il a été exploité.
Qui est vulnérable?
Les assistants de mot de passe de LastPass ont ajouté un nouveau pli au rapport de contrôle de sécurité du produit. Désormais, outre le signalement des mots de passe faibles et dupliqués, il répertorie tous vos sites enregistrés vulnérables ou vulnérables à Heartbleed. J'ai demandé à plusieurs autres utilisateurs de LastPass de m'envoyer les résultats de ce rapport, simplement pour avoir une idée de ce qui se passe.
J'ai moi-même plus de 200 mots de passe stockés dans LastPass. Seuls six d'entre eux ont été signalés comme vulnérables et deux ont déjà été réparés. En ajoutant les résultats de mes collègues, j'ai vu 50 sites vulnérables, dont 30 ne sont toujours pas corrigés.
Le rapport LastPass vous recommande de modifier votre mot de passe pour les sites corrigés afin de corriger le bogue. Pour les autres, cela suggère d'attendre que le site annonce une mise à jour, car votre nouveau mot de passe serait toujours vulnérable. Pour ma part, je suggèrerais de prendre Heartbleed comme réveil pour changer tous vos mots de passe, en s'assurant que chacun d'entre eux est fort et qu'aucun site n'utilise le même mot de passe. Vous devrez modifier les mots de passe des sites encore vulnérables une fois qu'ils auront été corrigés, mais leur modification minimise désormais le risque d'exposition.
Top boutiques
Pour un autre point de vue, j'ai choisi les 20 sites de shopping les plus populaires d'Alexa et les ai testés en ligne. Le chercheur Filippo Valsorda a créé un test peu après l’annonce de la nouvelle de Heartbleed. LastPass organise également un test à la demande
J'ai trouvé les résultats des tests de Valsorda un peu déroutants. Le test a renvoyé un message d'erreur du type "tuyau cassé" ou "délai d'attente d'E / S" pour cinq des 20 sites que j'ai essayés. L'état de santé de neuf sites a été net, car le test a révélé qu'ils étaient "réparés ou non affectés". Les six autres ont renvoyé un message d'erreur en raison du fait que la connexion avait été transférée à un réseau de diffusion de contenu et que le certificat du CDN ne correspondait pas au domaine que j'ai entré. Si vous cochez la case pour ignorer les certificats, le résultat est "fixe ou non affecté", mais la page de test vous avertit qu'il peut s'agir d'un résultat faux.
La page de test fournie par LastPass donne beaucoup plus d’informations. Il a signalé dix sites potentiellement dangereux. Cela signifie que le test n'a pas pu déterminer si le site utilise ou non OpenSSL, la bibliothèque de chiffrement affectée par le bogue Heartbleed. Quatre des sites étaient probablement vulnérables, car ils utilisaient OpenSSL, et deux d’entre eux sont désormais sûrs. Quatre autres sites n'étaient absolument pas vulnérables, et l'un qui était vraiment vulnérable est maintenant sécurisé. Cela ne laisse qu'un site qui n'a pas pu être analysé en raison d'une erreur de connexion.
Le testeur LastPass Heartbleed indique également la date de modification récente du certificat SSL de chaque site. Un certificat qui a été modifié peu de temps après la nouvelle de Heartbleed est une bonne indication que le site a été touché mais qu'il est maintenant sûr.
Comme pour tous les sites dont le statut n’est pas clair, le mieux est d’attendre une annonce du site lui-même. Méfiez-vous, cependant. Ne cliquez pas sur un lien de réinitialisation de mot de passe que vous recevez dans un courrier électronique, car certains d'entre eux sont des fraudes. Accédez directement au site, modifiez votre mot de passe et assurez-vous que votre gestionnaire de mots de passe enregistre les modifications.
Suivez l'actualité de PCMag sur le bogue Heartbleed.
