Heartbleed : comment se protéger de cette énorme faille de sécurité

Maj. le 10 mars 2015 à 13 h 36 min

Elimination du PSG en Ligue des Champions, tremblement de terre dans le Sud de la France, hypothétique redécoupage des régions sont autant d’évènements qui ont marqué l’hexagone cette semaine. Un autre épisode, d’ampleur mondiale cette fois-ci, ne vous aura sûrement pas échappé. Une faille de sécurité, baptisée Heartbleed, découverte il y a quelques jours, concerne de nombreux sites internet et potentiellement des millions d’utilisateurs.

android-heartbleed

Nos conseils pour se protéger d’Heartbleed

Qu’est-ce qu’Heartbleed ? Heartbleed fait référence à un logiciel chargé de mettre en œuvre une méthode de protection utilisée quotidiennement par d’innombrables internautes, les protocoles TLS/SSL. Ceux-ci permettent de cacher mots de passe, codes de carte bancaires et autres données partagées avec un site (l’icone en forme de cadenas que l’on retrouve dans la barre de navigation). La vulnérabilité provient d’un bug dans l’implémentation d’Open SSL, outil très populaire chargé de mettre en oeuvre cette protection, et date de deux ans !

 

Savoir quel site est concerné

Cette faille est majeure et concerne de nombreux serveurs de sites. A l’heure actuelle, on ne sait pas encore si cette faille a été exploitée par des hackers. Cependant, « Le nombre d’attaques qu’ils peuvent effectuer est sans limite », déclare Fox-IT, entreprise spécialisée dans la sécurité informatique. Un site internet (Heartbleed.com) est chargé de répondre aux interrogations des utilisateurs et indique que l’on a « de grandes chances d’être concerné directement ou indirectement« .

heartbleed-test

De nombreux géants d’internet ont été concernés par ce bug dont Tumblr, Facebook (par ailleurs, Facebook  vous obligera bientôt à utiliser Messenger), Amazon Web Services, Dropbox, Soundcloud et bien d’autres, faille de sécurité qui semble avoir été corrigée les concernant. Apple, Microsoft et la plupart des sites de vente en ligne et bancaires ne sont pas concernés. PayPal, Outlook.com et Amazon.com ne sont par exemple pas concernés. Difficile à l’heure actuelle de savoir si les serveurs de Twitter sont vulnérables. Le site fillippo.io vous permet de savoir si un site est vulnérable ou non, n’hésitez pas à vous y rendre.

 Changer de mot de passe

Evidemment, dans ce genre de situation, certaines mesures sont à prendre, sans pour autant céder à la panique. La première d’entre elles serait de changer de mot de passe. Cependant, avant d’en faire autant, pensez à vous assurer que la faille OpenSSL est bien corrigée sur le site en question. Cela va sans dire mais si la faille est toujours présente, votre nouveau mot de passe serait lui aussi visible.

Heartbleed-Refresh

Certains sites (Facebook, Yahoo, Dropbox, Gmail etc.) ont donc déjà corrigés le problème grâce à un patch et il est donc conseillé de changer de mot de passe. Retrouvez la liste des sites sur lesquels il faut changer de mot de passe le plus rapidement possible, liste non exhaustive réalisée par nos confrères de Mashable.

Eviter les activités « sensibles » et la Wi-Fi publique tant que possible

Par activités sensibles sont désignées les boites de réception ainsi que les sites bancaires et de ventes en ligne. Il est donc fortement conseillé de les éviter pendant plusieurs jours. Cependant, certains utilisateurs sont dans l’obligation de s’en servir, la prudence est donc de mise pour ces derniers. Il est également conseillé d’éviter au maximum de se connecter depuis la Wi-Fi publique que ce soient sur les réseaux sociaux, messageries et, a fortiori, les sites bancaires.

Public_Wifi_Security_sf

Cela va sans dire mais ne divulguez pas d’informations personnelles importantes en ligne ou par email et faites bien attention aux tentatives de phishing qui risquent de se multiplier ces prochains jours. Certains sites concernés vous contacteront sûrement par email, des personnes malintentionnés essaieront sans doute de les imiter pour vous piéger. Pensez également à éplucher régulièrement vos comptes bancaires afin de faire part d’une quelconque anomalie à votre banque et au site internet concerné.

Penser à effacer l’historique et les cookies

N’apportons pas de l’eau au moulin qu’est ce bug. Par conséquent, il est judicieux de supprimer ses historiques et cookies. Ceux-ci sont conservés sur votre ordinateur par les sites web que vous visitez et recueillent des informations telles que des préférences de navigation ou votre état de connexion au site. Régulièrement, des cookies publicitaires sont enregistrés, contenant parfois des informations personnelles. Evitez également de choisir l’option « enregistrer ce mot de passe » tant que le bug n’est complètement résolu.

Vérifier la vulnérabilité de son smartphone grâce à Heartbleed Detector

Si Heartbleed affecte les serveurs et sites internet, les terminaux mobiles ne sont malheureusement pas épargnés. Conçue par Lookout, cette application, baptisée Heartbleed Detector, permet de savoir si la version d’Android que vous utilisez est vulnérable ou non. Cette application ne s’intéresse qu’à Android et non pas aux sites internet que vous utilisez. Elle détectera une éventuelle vulnérabilité mais ne la corrigera pas. Vous pouvez télécharger l’application dès à présent ci-dessous.

heartbleed-detector

Heartbleed est bel et bien une faille majeure. On ne vous conseillera jamais assez de faire attention à vos données personnelles en ligne, les failles de sécurité étant malheureusement légion (récemment, une faille a été découverte dans le système de mise à jour Android). N’hésitez pas à nous faire part de vos impressions par rapport à Heartbleed. Etes-vous inquiet ?

Réagissez à cet article !
  • david

    Avant de flipper pour rien et éviter la désinformation: http://zataz.com/news/23352/openssl–tls–ssl-.html

  • alex

    Lol l appli me dit qu avec Android 4.4.2 sur moto g est vulnérable XP et idem sur galaxy note 8 Android 4.2.2

    • filaos

      Lol alors.

  • Kenny

    L’appli me dit que mon LgG2 infecter mais que peut on faire en sachant cela ???

    • filaos

      Est-ce que tu offres des services sur Internet à partir de ton téléphone ????
      Renseigne toi avant de flipper. Cette faille concerne les serveurs, pas les clients.

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Faut-il installer un antivirus sur son smartphone Android ?

Le Play Store regorge d’applications antivirus toutes plus séduisantes les unes que les autres. Mais faut-il vraiment installer un antivirus sur son smartphone Android ? Est-ce utile ? Risque-t-on quelque chose en n’installant rien ? Toutes nos réponses dans ce dossier.

Top 10 des meilleurs smartphones Wiko !

Les smartphones de la marque française Wiko proposent des fiches techniques honnêtes et un des meilleurs rapports qualité prix du marché. Alors si vous cherchez des téléphones fiables et efficaces, découvrez vite notre top 10 des meilleurs modèles de la marque.