Devriez-vous changer vos mots de passe en raison de Heartbleed?

Si vous avez du mal à comprendre le déluge d'informations sur le Heartbleed vulnérabilité, tu n'es pas seul. Certains rapports nous disent de changer immédiatement tous nos mots de passe en ligne, d'autres nous préviennent que cela pourrait faire plus de mal que de bien. Il y a beaucoup de désinformation là-bas.

Il est essentiel que vous ne paniquez pas, mais vous ne devriez pas être complaisant. Nous avons tous besoin d'un bon vieux mélange de bon sens et de prudence.

Qu'est-ce que Heartbleed?

Sur la plupart des serveurs et des services Internet que nous utilisons, il existe une technologie de sécurité gratuite et open source appelée OpenSSL. En termes simples, lorsque vous voyez le cadenas à côté de la page Web URL, vous disposez d'une connexion Web sécurisée et cryptée qui a peut-être été gérée par OpenSSL logiciel.

À ce jour, OpenSSL a travaillé incroyablement bien. Les ingénieurs réseau et les utilisateurs comme vous ont été plus que satisfaits du service fourni. Mais Google Security et Codenomicon récemment découvert une faille dans le système maintenant doublé Heartbleed et l'a annoncé au monde sur 7 April 2014. Le bug peut avoir passé inaperçu ces deux dernières années.

En termes simples, Heartbleed est une vulnérabilité de la mémoire du serveur. Cela signifie que toute la base de données de tous les clients de votre détaillant en ligne préféré n'est pas vulnérable, mais que toutes les transactions en cours au moment où un site est attaqué par un cybercriminel pourraient l'être. C'est pourquoi certains experts vous ont conseillé de ne pas effectuer de transactions importantes en ligne pendant que la situation est en train de se résoudre.

graphique d'abonnement intérieur

Heartbleed est une préoccupation majeure pour les entreprises, dont beaucoup hébergent des milliers de transactions toutes les heures. Un cybercriminel ardent pourrait facilement écrire un outil d'interrogation qui exploite le Heartbleed bug toutes les quelques secondes, permettant d'acquérir de gros volumes de données client. Cela dépendra entièrement de ce qui est échangé à l'époque quant aux informations qui seront extraites.

C'est comme si quelqu'un lisait votre esprit pendant que vous lisez cet article. Ils ne verront pas l'intégralité de l'article, mais pour le bref instant, ils regardent dans votre tête, ils verront les mêmes mots que vous venez de lire.

La mémoire du serveur est aussi récente que la transaction en cours ou la tâche en cours. Il est donc peu probable que les anciennes transactions de quelques minutes, heures ou jours seront stockées en mémoire.

Qu'avez-vous besoin de faire?

Pour commencer, ne paniquez pas. Certains vous conseillent de changer tous vos mots de passe, mais à moins de savoir que le site Web auquel vous accédez utilise OpenSSL, vous risquez de créer plus de problèmes en modifiant vos paramètres.

C'est en partie parce que vous pourriez changer le mot de passe sur un serveur qui n'a pas été patché et donc toujours un problème tant qu'il reste vulnérable. Si un site web est toujours vulnérable, votre nouveau mot de passe restera vulnérable.

Vérifiez avec les sites Web que vous utilisez. La plupart des sites annoncent s'ils ont apporté des modifications ou s'ils ont reconnu un problème. IFTTT, le populaire service de mash-up des médias sociaux, a déjà envoyé par e-mail la totalité de sa base d'utilisateurs, les informant que les services qu'ils offrent ont été sécurisés.

Si vous êtes techniquement enclin et souhaitez voir par vous-même, vous pouvez utiliser beaucoup de différents Heartbleed vérifier les sites vérifiez que le service que vous utilisez est vulnérable. Il y a des sites qui sont maintenant en liste sites web vulnérables. C'est une bonne nouvelle à certains égards, mais cela signifie également que les sites vulnérables sont également annoncés à des cybercriminels potentiels. Si votre site est sur ces listes, lisez attentivement les conseils, car certains disent qu'ils ne croient pas avoir de problèmes.

Si vous n'êtes toujours pas sûr, changez le mot de passe, mais utilisez un mot de passe dont vous vous souviendrez pour ne pas avoir besoin d'une invite du site. Ce devrait également être un mot de passe que vous êtes prêt à changer dans quelques jours. Mais rappelez-vous, vous serez surpris du nombre de sites que vous utilisez, des comptes que vous avez et des mots de passe que vous avez peut-être oubliés. Si vous avez oublié le mot de passe, restez à l'écart pour le moment.

Que font les professionnels?

De nombreux services sont déjà fixés. Les professionnels du réseautage ne sont pas complaisants et sont très axés sur la sécurité. Des problèmes comme ceux-ci sont rares mais font de grandes histoires. Beaucoup ont peut-être supprimé le problème avant même qu'il ne devienne une nouvelle.

Certains services Web annoncent s'ils ont été corrigés et sont sécurisés, mais vous n'avez pas besoin de vous inquiéter si votre site Web préféré ne publie pas d'annonce. Les chances sont qu'il n'utilisait jamais OpenSSL en premier lieu.

Y aura-t-il d'autres problèmes?

Il est inévitable que certains sites ne soient pas corrigés, car ce ne sont pas des services commerciaux primaires qui sont «pris en charge». Il y a toujours le potentiel pour d'autres problèmes à trouver avec OpenSSL ou d'autres services sécurisés. Injection SQL, par exemple, était un problème qui est devenu largement connu dans la communauté de réseautage dans 2012, mais nous trouvons encore parfois des serveurs permettant toujours cet exploit.

Dans l'ensemble, votre meilleur plan d'action est de découvrir quels sites Web dans votre vie numérique fonctionnent OpenSSL. Les plus grands sites communiqueront avec vous, si et quand ils en ont besoin.

Cet article est apparu sur The Conversation

Du webmaster d'InnerSelf: InnerSelf fonctionne sur un système qui utilise OpenSSL mais nous avons corrigé la vulnérabilité dès que nous avons appris à propos de Heartbleed. Nous gardons seulement votre nom (prénom suffit) et email pour le Newsletter ainsi que Daily Inspiration. Aucun humain ne le regarde et il n'est jamais partagé avec quelqu'un d'autre. Comme nous ne traitons pas les cartes de crédit en ligne, aucune de vos informations n'est disponible. Nous offrons SSL afin que vous puissiez lire InnerSelf dans des conditions introuvables si vous le souhaitez (https://innerself.com/content/).

À propos de l’auteur

smith andrewAndrew Smith est un conférencier en réseautage à L'Université ouverte. auteur et senior examinateur avec une expérience en "infrastructure" Networking, ainsi que certains programmes qui sont un peu daté et la sécurité du réseau (cybersécurité). Ses principaux travaux universitaires portent sur les technologies Cisco dans le cadre du programme Cisco Academy.

Livre recommandé

Protéger votre identité Internet: êtes-vous nu en ligne?
par Ted Claypoole et Theresa M. Payton.

1442212209Protéger votre identité Internet: êtes-vous nu en ligne? aide les lecteurs, jeunes et moins jeunes, à comprendre les implications de leurs personnalités et de leur réputation en ligne. Les auteurs proposent un guide sur les nombreux pièges et risques de certaines activités en ligne et fournissent une feuille de route pour la prise en charge de votre propre réputation en ligne, gage de succès personnel et professionnel.

Cliquez ici pour plus d'information et / ou pour commander ce livre sur Amazon.