Tag: Heartbleed

Sécurité du web: les 7 failles les plus inquiétantes de 2014

Y a pas à dire, entre vols de données, vagues de paniques, hacks, failles de sécurité et fuites diverses de photos, l’année 2014 aura été faste en cyber-frayeurs. On aura plusieurs fois frisé la datastrophe. Bruyamment relayés par les médias qui se plaisent à entretenir la méfiance vis-à-vis de la toute-puissance du web, les méfaits des hackers, toujours plus nombreux, plus sournois, plus habiles, nous incitent à la cyber-parano.

Doit-on encore confier nos données à l’aveuglette? Le cloud est-il en mesure de protéger notre vie privée? Qui peut utiliser nos photos? nos fichiers? nos mots de passe? nos comptes? En un mot, au moment où s’achève cette année 2014, qu’en est-il de la sécurité en ligne? Faisons le point.

Heartbleed

Voici sans doute un des plus grands bugs de sécurité de l’année. Heartbleed a dévoilé une faille de sécurité qui affectait la plupart des sites web. Le bug a été découvert dans la bibliothèque de cryptage OpenSSL, un répertoire open source qui protège les pseudos et les mots de passe des internautes. La faille a révélé que n’importe quel hacker interceptant une connexion potentiellement compromise (c’est-à-dire mal encryptée) pouvait récupérer votre nom d’utilisateur et votre mot de passe. Le pire, ce n’est même pas que 66% des sites web utilisaient (et utilisent toujours) le cryptage OpenSSL: c’est que la faille soit passée inaperçue pendant deux ans. En d’autres termes, les hackers ont eu le champ libre pour récolter des pseudos et des mots de passe pendant un bon moment.

Heartbleed

Depuis sa découverte en avril, la plupart des grands sites concernés ont corrigé ce bug, redonnant une certaine (relative) sécurité à leurs sites web.

Snapchat

Bien que l’appli elle-même ait été hackée plus tôt dans l’année, dévoilant les pseudos et numéros de téléphones de plus de 4 millions de personnes, les utilisateurs de Snapchat ont tremblé lorsque le populaire site Snapsaved, édité par des tiers, a subi une faille de sécurité. Cette page web, comme son nom l’indique, permet aux utilisateurs de Snapchat de sauvegarder leurs photos et leurs vidéos. Les hackers ont dérobé plus de 200 000 images et vidéos, dont beaucoup se sont retrouvées sur les forums anonymes de 4chan, il y a de ça quelques semaines.

Snapchat Troll

Snapchat est souvent utilisé pour envoyer des images plutôt, disons, “personnelles”, ce qui pose d’autant plus de problèmes que le site est populaire chez les mineurs. Snapsaved.com a depuis cessé ses activités et 4chan a retiré les photos, mais ça ne signifie pas que vous êtes complètement à l’abri. Snapsaved et des applis similaires exploitent les accès dérobés d’une API (Application Programming Interface) accessible au public pour intercepter et sauvegarder vos photos. Mieux vaut sans doute éviter les applis tierces qui communiquent avec Snapchat (ainsi que Snapchat lui-même, pas toujours irréprochable sur le plan de la sécurité) si vous ne voulez pas risquer de voir vos photos dans la nature.

iCloud

Cette fuite de photos a eu un écho considérable dans la presse, du fait de la notoriété mondiale des célébrités qui étaient visées par ces attaques. Mais la faille de sécurité expérimentée par iCloud en septembre n’a pas suffi à effrayer l’utilisateur Lambda. La fuite n’était pas vraiment liée à une vulnérabilité logicielle en soi: les hackers ont plus exactement découvert une lacune dans le système de sécurité qu’ils ont exploitée au moyen de logiciels tiers, pour accéder aux comptes de sauvegarde d’iCloud, en ciblant ceux des célébrités. La panique a été causée par le fait que n’importe qui pouvait potentiellement accéder à des photos “sensibles” stockées sur un appareil iOS. L’absence de validation en deux étapes a été pointée du doigt pour expliquer la vulnérabilité d’iCloud.

iCloud

Depuis, Apple a nettement modifié ses services de stockage iCloud à l’occasion de la sortie d’iOS 8. Vous recevrez notamment un email s’il y a eu accès à votre compte depuis un autre emplacement, et le système rend la tâche bien plus difficile aux hackers qui voudraient s’aventurer sur vos comptes. L’authentification en deux étapes est maintenant obligatoire, et Apple vous force à générer des mots de passe distincts pour chaque appli qui n’est pas compatible avec l’authentification en deux étapes.

eBay

En mai, eBay a annoncé que l’intégrité de son site web avait été compromise par une faille de sécurité vieille de quelques mois. Au moyen du compte d’un employé, les hackers ont pu accéder aux données des utilisateurs. Cependant, les informations dérobées ne contenaient pas de données bancaires, et concernaient essentiellement les emails et les adresses physiques des utilisateurs, ainsi que leurs mots de passe et leurs dates de naissance. Paypal, le partenaire d’eBay qui gère les transactions financières, n’a heureusement pas été frappé par cette attaque, ce qui aurait pu causer des dégâts d’une autre ampleur.

Ebay hack

eBay a déclaré ne pas avoir détecté d’activité suspicieuse lors des mois précédant la découverte de la faille, mais il a recommandé aux 145 millions d’utilisateurs concernés de modifier leur mot de passe.

Internet Explorer

Un quart du marché des navigateurs internet a été affecté en avril, lorsque Microsoft a annoncé une faille critique de sécurité dans les versions 6 à 11 d’Internet Explorer. De fait, Microsoft a pris la menace au sérieux, au point de sortir une mise à jour de sécurité pour Windows XP, alors même qu’il avait cessé le support officiel de ce système d’exploitation, périmé depuis quelques semaines.

Internet Explorer

La vulnérabilité mettait les utilisateurs d’Internet Explorer à la merci des hackers en octroyant à ces derniers les droits d’administrateur à distance, leur permettant de s’introduire dans le système et d’installer des malwares. Heureusement, la vulnérabilité a été corrigée quelques jours après avoir été découverte.

Adobe Flash

Adobe a sorti en urgence une mise à jour de Flash cet été, après qu’une faille de sécurité ait mis les cookies du navigateur à la merci des pirates. Les cookies sont des données qui permettent au navigateur de se souvenir de votre comportement sur des sites web, afin de rendre votre expérience plus fluide, par exemple en évitant de retaper son mot de passe à chaque connexion. Cette vulnérabilité, techniquement complexe, permettait aux pirates d’intercepter ces cookies, et de se faire passer pour d’autres internautes sur les sites web concernés.

Adobe Flash

Flash étant embarqué par des milliers de sites, y compris YouTube, Google ou Tumblr, sa vulnérabilité a compromis la sécurité d’un grand nombre d’internautes. Heureusement, le patch a été mis à jour rapidement, avant que des dégâts majeurs soient détectés.

Shellshock Bash

Découverte le mois dernier, Shellshock Bash pouvait potentiellement devenir la plus vaste et la plus effrayante des failles de sécurité jamais connues. Apparue sur Mac OS X, Linux et les systèmes Unix, elle donnait aux hackers la possibilité d’exécuter des commandes à distance sur des ordinateurs, des appareils et des sites web.

Shellshock Bash

Bash est un interpréteur de commande largement utilisé par des PC portables, des routeurs ou des sites web. Sa vulnérabilité aurait pu affecter des centaines de millions de dispositifs. Après avoir découvert le bug de Bash, les hackers ont immédiatement testé les sites web pour savoir lesquels étaient les plus exposés. De nombreuses compagnies, dont Apple, ont rapidement corrigé le bug, mais le bug de Bash est toujours potentiellement dangereux pour les serveurs web faisant fonctionner de nombreux sites.

Cela dit, ne vous inquiétez pas. Vous êtes sans doute hors de danger, vu que la plupart des éditeurs de logiciel ont corrigé le bug. Mais comme on n’est jamais trop prudent, vous pouvez vous protéger en mettant à jour votre ordinateur et vos dispositifs, en installant la dernière actualisation logicielle.

Pas de panique

Il semblerait que les failles de sécurité sont devenues monnaie courante de nos jours, mais bien qu’elles échappent à notre champ d’action, vous pouvez vous protéger par des moyens simples à mettre en œuvre.

Tout d’abord, vous pouvez utiliser des générateurs de mots de passe, pour s’assurer qu’ils sont tous distincts et incassables. Utilisez l’authentification en deux étapes dès que possible, mettez à jour vos logiciels à la dernière version, car les actualisations contiennent souvent des patchs de sécurité et des corrections de bugs. Et autant que possible, évitez les applis développées par des tiers ou des services aux règles de sécurité ou aux paramètres nébuleux.

A lire aussi:

Article original de Zuzanna Blaszkiewicz– Softonic.com. Traduit et adapté de l’anglais.

Apple lance son patch pour corriger la faille Shellshock dans OS X

Apple avait promis une solution. La firme de Cupertino a donc respecté sa promesse en lançant ses correctifs pour Mac OS X Mavericks, Lion et Mountain Lion.

Le patch n’est pas disponible par une mise à jour automatique de OS X. Vous devrez donc télécharger et installer manuellement le patch pour votre version respective de OS X. Assurez-vous de télécharger ce patch pour protéger votre ordinateur et éviter tout problème.

Apple précise cependant qu’il n’y aucun risque à avoir pour la majorité des utilisateurs. Seuls les utilisateurs avancés qui ont configuré manuellement les services UNIX sont en danger.

Attention, si vous utilisez les versions publiques ou développeurs de Mac OS X Yosemite, il n’y a pas encore de patch disponible.

Voici les patchs pour les différentes versions de Mac OS X:

– OS X Lion

– OS X Mountain Lion

– OS X Mavericks

Source: Engadget

A lire:

Un informaticien français découvre la faille ShellShock qui pourrait mettre l’Internet à genoux

Pourquoi Shellshock Bash est encore plus effrayant que Heartbleed

Heartbleed c’est quoi? Les 5 étapes pour protéger ses comptes

Suivez-moi sur Twitter: @pierrevitre

Un informaticien français découvre la faille ShellShock qui pourrait mettre l’Internet à genoux

Stéphane Chazelas a récemment, par hasard, mis la main sur l’une de plus grosses failles informatiques. Elle touche à la vulnérabilité des serveurs. Toujours pas résolue, elle fait le bonheur des pirates qui n’ont pas manqué de d’ores et déjà lancer des attaques.

La sécurité d’Internet et des serveurs qui s’y trouvent est une nouvelle fois sur la sellette. Il y a quelques jours, un informaticien français a mis la main, un peu par hasard, sur une importante faille de sécurité. Ce problème touche les ordinateurs tournant sur Mac OS et Linux. « Cette faille est liée au « Bash Shell », une couche logicielle bien connue des informaticiens qui donne accès au système d’exploitation Linux et Mac OS par une interface en ligne de commande. Pour y accéder, il suffit par exemple d’ouvrir une fenêtre Terminal sur un Linux ou un Mac », explique 01net.

Des grandes sociétés américaines ont déjà patché (« protégé ») leurs serveurs, c’est le cas notamment de Google. Du côté d’Apple, on semble moins inquiet et moins pressé, puisque rien n’a été encore fait. Dans un email à l’AFP, la marque à la pomme déclare que « La grande majorité des utilisateurs de Macintosh OS X ne sont pas exposés à la vulnérabilité de Bash », et qu’il n’y a donc pas de raison de s’inquiéter. Mais une mise à jour est néanmoins en préparation.

Stéphane Chazelas est un informaticien français. La découverte de cette faille de sécurité, il l’a faite par hasard. Mais ce qui l’inquiète le plus, c’est qu’il faudra énormément de temps pour la corriger. Certains systèmes ne supportant ou n’acceptant pas de mise à jour, il faudra trouver un autre moyen pour faire la réparation.

En attendant, des pirates ont déjà profité de la vulnérabilité de ces deux systèmes pour préparer et perpétrer des attaques.

« Ce que beaucoup d’experts de sécurité redoutent maintenant, c’est qu’un pirate transforme l’un de ces codes malicieux en vers, c’est-à-dire qu’il soit capable de se répliquer automatiquement de serveur en serveur. L’infection se propagerait alors de manière exponentielle, avec la possibilité de mettre l’Internet à genoux », s’inquiète 01net.

A lire aussi

Pourquoi Shellshock Bash est encore plus effrayant que Heartbleed

Oubliez Heartbleed et dites bonjour à Shellshock Bash: le nouveau bug qui inquiète le web et les internautes.

Bash n’est pas une faille récente. Elle existe depuis vingt-cinq ans mais sa découverte date de quelques semaines et a le potentiel pour hacker les ordinateurs, les téléphones, les tablettes, les sites web et bien plus encore.

Cette vulnérabilité se situe dans les lignes de commande qui fonctionnent en arrière-plan sur Mac OS X, Linux et de nombreux autres systèmes basés sur Uni. Ce bug permet notamment aux pirates d’exécuter des commandes à distance et de modifier du contenu sur des ordinateurs et des sites web.

Qu’est-ce que Bash et pourquoi tant de choses l’utilisent?

Sans être trop technique, Bash est fondamentalement un interprète pour les ordinateurs, permettant aux utilisateurs d’exécuter des commandes sur les systèmes Unix et Linux. Il est utilisé sur une variété de dispositifs car le logiciel est open source et constitue la norme pour les serveurs web dans l’industrie.

Image credit: Netcraft

Plus de la moitié des serveurs web du monde entier tourne sous Apache, une application de serveur Web responsable pour le protocole de transfert hypertexte (HTTP).

Comment Bash est-il exploité?

Bash permet aux hackers d’exécuter du code arbitraire sur les systèmes affectés sans aucune forme d’authentification. Ce type d’attaque est appelée “injection de code“.

Comme mentionné précédemment, de nombreux sites web s’exécutent sur des serveurs web qui sont vulnérables au bug Shellshock Bash. Cela signifie que ses sites web entiers pourraient théoriquement être hackés.

Pire encore, des milliers d’appareils supportent Bash, comme les appareils photo et les routeurs. Des outils domestiques comme les ampoules et les thermostats connectés pourraient aussi être affectés.

Heureusement, j’utilise Windows

Bien que le système d’exploitation Windows n’est pas directement touché par le problème, les périphériques que vous connectez à votre ordinateur peuvent utiliser Bash. Le routeur que vous utilisez pour connecter votre ordinateur Windows à Internet par exemple utilise certainement un système d’exploitation qui est vulnérable.

Est-ce aussi mauvais et dangereux que Heartbleed?

Le bug Shellshock Bash attire de nombreuses comparaisons avec la faille Heartbleed découverte il y a quelques mois. Et pour cause, car même si les vulnérabilités sont complètement différentes, les effets des deux attaques sont comparables.

Cependant, Heartbleed n’affectait que les sites et services web tandis que Shellshock Bash peut affecter les sites, les ordinateurs et de nombreux autres dispositifs.

Les hackers connaissent et utilisent évidemment déjà la faille. Nos confrères d’Ars Technica ont ainsi trouvé plus de 2 milliards de sites qui “correspondent au profil du bug Shellshock.”

Toutefois, on ignore dans quelle mesure les pirates vont profiter du bug. Ces derniers pourraient notamment créer des vers passant à travers les pare-feux et se multiplier sur un réseau sans que les utilisateurs ne s’en aperçoivent. Les pirates pourraient alors même espionner et voler vos données personnelles une fois votre machine compromise en utilisant le bug.

Que puis-je faire pour me protéger?

Si vous êtes un utilisateur Mac et que vous voulez savoir si vous êtes vulnérable, vous pouvez exécuter le script suivant dans l’application Terminal (situé dans le dossier Utilitaires).

$ env x='() { :;}; echo vulnerable’ bash -c ‘echo hello’

Si la commande lit “vulnérable” et “hello”, alors votre machine est sensible au bug Shellshock. Apple travaille actuellement sur un correctif pour vous mettre à l’abri de ce dernier.

Pour la plupart des utilisateurs, la meilleure chose que vous pouvez faire maintenant est de vous assurer que vous utilisez la dernière version des logiciels sur TOUS vos appareils (y compris votre routeur).

Au-delà de garder vos appareils à jour, restez vigilant et faites également attention aux spams et autres emails qui vous proposeront un patch ou une solution miracle. Les serveurs et sites web corrigeront d’eux-mêmes la faille. Patience donc et prudence.

Sources: Red HatTroy Hunt

A lire:

Heartbleed c’est quoi? Les 5 étapes pour protéger ses comptes

Quels sont les principaux sites affectés par la faille Heartbleed?

Piratage: le vol de données en ligne en forte hausse aux États-Unis

Suivez-moi sur Twitter: @pierrevitre

Protéger sa vie privée sur Internet: les conseils de sécurité de Mikko Hypponen, expert en antivirus

Mikko Hypponen, expert en virus, est Responsable du département Recherche chez F-Secure, entreprise finlandaise spécialisée dans le domaine de la sécurité informatique. Hypponen est l’un des experts en matière de sécurité sur Internet et a participé à la conférence TED. Nous l’avons rencontré lors de la Conférence Next 14 à Berlin et lui avons posé des questions sur la collecte des données de Google, la confidentialité et la situation d’Internet après le scandale de la NSA.

Softonic: M. Hypponen, une question toute simple: utilisez-vous les services Google?

Oui, bien sûr, vous aussi, n’est-ce pas? Je préfèrerais ne pas les utiliser, mais comment faire pour éviter Google? Même si vous trouvez des alternatives à Maps et Gmail, comment remplacer le moteur de recherche? Vous ne pouvez pas vous débarrasser de YouTube parce que toutes les vidéos y sont présentes. Et même si vous cessez d’utiliser ces services, Google Analytics et Google AdBanner vous pisteront sur le Net.

Faites le calcul: combien d’argent Google a-t-il gagné l’an dernier? Prenez leurs bénéfices et divisez-les par le nombre d’utilisateurs: 17 milliards de bénéfices en 2013 et 1 milliard d’utilisateurs. Ce qui veut dire que vous leur avez rapporté 17 dollars. Vous ne leur avez rien versé et pourtant ils ont gagné 17 dollars de bénéfices grâce à vous. Même si je préfèrerais payer pour ces services, je n’ai pas le choix. Je leur rapporte plus en leur fournissant des données qu’en leur donnant de l’argent. Et soit dit en passant, ce n’était pas une question simple.

Vous dites que Google, Yahoo ou des services similaires en savent plus sur nous que nos propres familles. En tant qu’utilisateur, a-t-on moyen d’agir différemment?

Vous pourriez supprimer vos cookies Google ou utiliser leurs services sans vous connecter, car c’est leur principal moyen de relier votre profil à votre ordinateur, tablette ou téléphone et de convertir ensuite vos données. Mais éviter de vous connecter ne réglera pas le problème. Nous n’avons pas vraiment de solution.

Parlons des réseaux sociaux: vous n’utilisez que Twitter. Pourquoi?

Twitter est un réseau complètement ouvert, rien n’est privé ou secret. Je ne suis pas contre les réseaux sociaux. Les gens me demandent pourquoi je ne suis ni sur LinkedIn ni sur Facebook. J’essaie de protéger ma vie privée. Si vous allez sur Facebook et que vous l’utilisez comme un internaute lambda, votre vie ne sera plus privée.

La meilleure chose à faire est de ne pas avoir de compte Facebook, même si c’est compliqué. Si vous n’êtes pas sur Facebook, comme moi, vous ne saurez pas qui de vos amis a divorcé, a eu un bébé ou a organisé une fête. Je suis toujours le dernier à être au courant de ces choses-là, alors que tout le monde sait tout. Sauf moi, parce que je ne suis pas sur Facebook.

Après NSA et la faille Heartbleed, d’autres mauvaises nouvelles vont débarquer à coup sûr. Les internautes ont peur. Ils ne comprennent pas vraiment ce qui se passe sur Internet. Comment moi, en tant qu’utilisateur lambda, puis-je me protéger contre les dangers du web ?

Il y a quelques mesures très simples à prendre, comme mettre en place une culture du mot de passe. Avec des mots de passe de mauvaise qualité ou recyclés, vous pourriez être surveillés et avoir des problèmes. Pour éviter cela, utilisez des gestionnaires de mots de passe et faites des sauvegardes de sécurité. Un accident est vite arrivé. Si votre maison est détruite suite à un incendie, si vous avez fait une sauvegarde de sécurité, vous pourrez récupérer les photos de vos enfants par exemple.

Pour surfer sur le web, je conseille à tout le monde d’utiliser le réseau Tor. Il ne s’agit pas de le faire uniquement lorsque vous souhaitez conserver votre vie privée, mais tout le temps. Je recommande également l’utilisation de VPN. Tor protégera votre identité et les VPN encoderont vos données. Je vous rappelle que: “l’encodage fonctionne” (citation de Snowden). Utilisez donc l’encodage. Encodez vos e-mails. Et si vous stockez vos données sur un service de cloud, encodez-les d’abord.

Mikko Hyponnen

Avec votre entreprise, vous combattez depuis des années l’industrie des antivirus, de plus en plus puissante. Ce combat n’est-il pas perdu d’avance?

Non, je ne crois pas. Il ne fait pas bon être un cybercriminel. Beaucoup de gens deviennent des cybercriminels, car c’est la «moins mauvaise» des options qui s’offrent à eux. D’autres ont les compétences, mais n’en ont pas l’occasion, comme vous et moi. Beaucoup de crimes sont commis dans les pays pauvres et ce n’est pas un hasard.

Mais être un cybercriminel n’est pas facile. Vous devez rester incognito, ce qui est compliqué. Une erreur suffit pour qu’ils soient démasqués. Le combat n’est pas perdu. Ce n’est pas évident de faire bouger les choses, mais nous stoppons plus de cybercriminels que jamais. Nous ne baissons pas les bras.

Les malwares sont de plus en plus populaires sur les téléphones Android. En tant qu’utilisateur Android, que puis-je faire pour me protéger?

Pour le moment, les utilisateurs Android ne feront pas l’objet d’attaques, sauf s’ils installent eux-mêmes le programme malveillant. En utilisant votre téléphone Android pour aller sur Google Play ou un autre store d’applications et en installant Angry Birds ou Boom Beach, etc., vous prenez des risques. L’application a l’air sympa, mais ce n’est pas le cas en réalité. Vous ne vous rendrez compte de rien avant d’avoir reçu votre facture. Vous verrez alors que l’application a passé des appels chers pendant que vous étiez en train de l’utiliser. C’est le problème sur Android. Faites attention à ce que vous installez.

Edward Snowden a dit que sa plus grande crainte était que rien ne change après le scandale de la NSA. Pensez-vous que quelque chose a bougé ces derniers mois?

Oui, je vois du changement, j’ai beaucoup d’espoir. Ce n’est pas un changement extrême ou un tremblement de terre comme vous pourriez l’espérer. Mais je vois les gens se réveiller, je vois des gens réfléchir et se poser des questions. Avant, ils se sentaient impuissants, comme s’ils ne pouvaient rien faire.

Chaque fois que j’aborde ce sujet, j’insiste là-dessus: on peut faire bouger les choses. Rester assis ne va rien changer. Vous ne devez pas vous inquiéter, vous devez vous énerver. J’ai espoir.

M. Hypponen, merci beaucoup pour cette interview.

Photo: Mikko Hyponnen

A télécharger:

A lire:

Article original écrit par Wolfgang Harbauer – Softonic.com. Traduit et adapté de l’allemand.

Utiliser un gestionnaire de mots de passe, le bon réflexe!

La faille de sécurité Heartbleed a affecté les deux tiers du réseau Internet. Ce bug permet aux hackers d’obtenir les identifiants et mots de passe des internautes. Des sites aussi populaires comme Google et Yahoo! ont même été touchés, bien qu’ils aient depuis trouvé une solution à cette menace.

S’il est difficile d’empêcher les hackers d’attaquer les sites Internet, vous pouvez par contre prendre des mesures pour protéger vos informations. La première ligne de défense est de créer des mots de passe sécurisés et uniques pour chaque site et service que vous utilisez. Le problème: comment faire pour vous rappeler de tous ces mots de passe? Solution: utiliser un gestionnaire de mots de passe.

Qu’est-ce qu’un gestionnaire de mot de passe ?

1password for Mac

Les gestionnaires de mots de passe sont des programmes qui génèrent, stockent et encodent tous vos mots de passe. Il vous suffit de vous souvenir d’un seul mot de passe pour accéder à votre base de données.

En créant des mots de passe uniques et aléatoires, composés de lettres, de chiffres et de symboles, vous pouvez empêcher que tous vos comptes soient exposés si l’un de vos mots de passe est dérobé. En effet, si votre compte Facebook est piraté, le hacker peut accéder à tous vos comptes qui utilisent le même mot de passe.

LastPass secure password example

Les mots de passe faibles, qui ne contiennent que des lettres et des chiffres sont vulnérables aux attaques brutes. Les mots de passe courts facilitent encore plus ces attaques.

Des applications comme 1Password et LastPass sont de bonnes options et sont bien plus que des gestionnaires de mots de passe : elles peuvent stocker des documents sensibles, des informations de carte de crédit et même les licences de vos logiciels.

Que se passe-t-il si quelqu’un vole mon mot de passe principal?

Cette probabilité est faible et les gestionnaires de mots de passe sont suffisamment sécurisés pour que les hackers aient du mal à pirater votre mot de passe principal. Nous avons discuté avec Jeffrey Goldberg, Défenseur contre les forces du mal (c’est vraiment son titre) chez 1Password, de la manière dont les mots de passe principaux sont protégés. « Vos données 1Password sont encodées selon des clés de chiffrage qui proviennent de votre mot de passe principal. Personne n’a accès à ces clés ou à votre mot de passe principal. Si quelqu’un s’empare de vos données 1Password, il ne pourra les déchiffrer sans votre mot de passe principal. »

LastPass for Chrome

LastPass fonctionne pareil. Bien que LastPass synchronise votre base de données de mots de passe avec ses serveurs, il n’envoie ou ne stocke pas les clés d’encodage. Toutes les clés de chiffrage proviennent de votre mot de passe principal et sont stockées localement sur votre ordinateur ou appareil.

« Nous utilisons le protocole SSL comme seconde ligne de défense. Notre protection principale consiste à stocker les clés de chiffrage de manière locale » a déclaré le PDG de LastPass, Joe Siegrist.

Dois-je vraiment modifier tous mes mots de passe ?

Vérifiez tout d’abord les sites que vous utilisez et qui ont été affectés par Heartbleed et assurez-vous que le problème ait été réglé. Mashable propose une liste des sites populaires et la manière dont ils ont réagi face à Hearbleed. Le site doit avoir réglé le problème Heartbleed avant que vous ne changiez votre mot de passe ou le nouveau sera également exposé. Même s’il paraît que les conséquences de Heatbleed ont été exagérées, mieux vaut prévenir que guérir.

Cloudflare, un service de diffusion de contenus, a défié les internautes de voler des clés d’encodage en passant par un site touché par le bug Heartbleed. En quelques heures, certains ont réussi à pirater des clés d’encodage privées. La menace est donc bien réelle.

« [Heartbleed] n’est pas exagéré », a déclaré Siegrist. « Cloudflare a prouvé qu’on pouvait l’exploiter. Il est possible que des identifiants et mots de passe aient été dérobés. »

LastPass Heartbleed checker

Changer vos mots de passe avec un gestionnaire de mots de passe est très facile. Les applications enregistreront les nouveaux mots de passe et les stockeront pour vous. LastPass permet également d’alerter les utilisateurs sur les sites et services vulnérables à la faille Heartbleed. Ils proposent un site Internet public sur lequel vous pouvez entrer des URL pour vérifier si les sites associés ont été affectés. Mashable a compilé une liste des réponses apportées par les entreprises au problème Heartbleed.

N’étant pas des outils automatisés, 1Password et Lastpass fonctionnent selon cette caractéristique.

« Vous n’avez qu’à trouver le formulaire de modification de mot de passe et laissez 1Password vous aider à créer et sauvegarder des informations de connexion sécurisées. Nous essayons constamment d’améliorer ce processus » a déclaré Goldberg.

Un peu de travail en plus aujourd’hui peut vous éviter de gros problèmes à l’avenir.

Que puis-je faire d’autre pour me protéger ?

Les gestionnaires de mots de passe sont la première étape pour protéger vos comptes. Suivez les actualités en matière de sécurité et faites attention aux sites Internet que vous consultez.

Les opérations de phishing, lancées par des sites Internet qui se font passer pour d’autres afin de piéger les utilisateurs sont un moyen courant de voler des données. Ne cliquez jamais sur des liens suspicieux que vous recevez dans un email ou sur un tchat.

Les gestionnaires de mots de passe peuvent également vous aider à consulter les bons sites. Parfois, une petite erreur dans l’orthographe d’une adresse peut vous conduire sur un site de phishing, sans que vous ne vous en rendiez compte.

Chrome browser lock

« Les internautes devraient prendre au sérieux les alertes SSL/TLS de leurs navigateurs », affirme Goldberg. Le cadenas dans la barre d’adresse des navigateurs modernes vous permettra de savoir quels sites sont officiels et utilisent un protocole d’encodage. La plupart des navigateurs vous préviendront si vous visitez un site dangereux, mais il vaut mieux rester vigilants.

Vous devriez également utiliser des validations en deux étapes pour les sites et services qui les proposent. La validation en deux étapes requiert deux formes d’identification: un mot de passe et un code généré au hasard. Une fois que vous avez saisi votre mot de passe, on vous demandera d’entrer un code qui vous sera envoyé par SMS ou via une application comme Google Authenticator. Ces codes ne fonctionnent que pendant une courte période de temps avant d’expirer.

Dropbox two factor authentication

Facebook, Google, Twitter, Evernote et beaucoup d’autres entreprises fournissent cette deuxième mesure de sécurité. Vous connecter à votre compte sera peut-être un peu plus fastidieux, mais c’est le prix à payer pour que vos comptes soient sécurisés.

Enfin, assurez-vous que tous vos ordinateurs, téléphones et tablettes soient à jour. Les parades aux failles de sécurité sont souvent contenues dans les mises à jour des systèmes et des logiciels.

Des applications comme Avast! alertent leurs utilisateurs si leurs logiciels ne sont pas à jour. Softonic pour Windows peut également aider les utilisateurs à garder leurs applications à jour.

Pour plus d’informations sur Heartbleed et sur la manière de vous protéger, lisez les articles ci-dessous.

Lastpass:

1Password:

PLUS D’ARTICLES SUR HEARTBLEED

Article original écrit par Lewis Leong – Softonic.com. Traduit et adapté de l’anglais.

Comment savoir si mon Android est infecté par Heartbleed?

Android est également touché par la faille de sécurité Heartbleed: votre mobile peut être attaqué pour qu’on y vole des données. Voilà comment savoir si votre portable est en danger.

Heartbleed est une faille de sécurité qui affecte les réseaux de communication sécurisés indiqués par un cadenas dans votre navigateur. Android utilise le même cadenas, mais seule la version 4.1.1 est vulnérable devant ce type d’attaque.

Si votre mobile est vulnérable, il est possible, tout du moins en théorie, qu’une application malicieuse puisse accéder à vos données privées. Ne connaissant pas l’étendue réelle de la menace, il vaut mieux faire une vérification immédiatement.

Il existe une manière très simple de vérifier si votre Android est en danger : effectuer le Heartbleed Security Scanner. Je vous explique rapidement comment l’utiliser et que faire en cas de résultat positif.

1. Installez Heartbleed Security Scanner

Heartbleed Security Scanner est une application gratuite, créée par Lookout, programmeurs spécialisés en applications de sécurité pour Android. Son téléchargement est très rapide et vous pouvez le lancer en cliquant ici.

Heartbleed Security Scanner

2. Effectuez le test Heartbleed sur votre mobile ou tablette

Lancez maintenant Heartbleed Security Scanner. Le scan est instantané. Si votre Android est sécurisé, vous verrez une icône verte apparaître à la fin (le jaune n’est pas important) :

Heardbleed Detector OK

Si votre Android est vulnérable et en danger, vous verrez une icône rouge apparaître à la fin :

Heardbleed Detector Danger

Si votre téléphone ou tablette n’est pas vulnérable (icône verte), vous pouvez respirer. Dans le cas contraire (icône rouge), passez à la troisième étape.

3. Si le résultat du test est rouge, mettez à jour Android

Google a déjà prévenu les fabricants de mobiles et de tablettes pour qu’ils appliquent le patch qui élimine Heartbleed sur Android 4.1.1. Il n’y a plus qu’à attendre la mise à jour et à la télécharger.

Si la mise à jour ne vous est pas proposée, il vous reste une option : installez un Android alternatif et plus actuel. Cela reste compliqué et quelque peu risqué, mais avec CyanogenMod Installer, l’installation ne prend que dix minutes.

Un risque théorique, mais qu’il ne faut pas prendre à la légère

Nous ne pensons pas que cette faille de sécurité sera exploitée tout de suite, mais si vous possédez un appareil Android 4.1.1 (Jelly Bean), vous avez maintenant une raison de faire la mise à jour. Les options sont nombreuses et vont du changement de ROM au changement de mobile.

Et vous, votre Android est-il vulnérable à Heartbleed ? Téléchargez Heartbleed Scanner et découvrez-le.

Article original écrit par Fabrizio Ferri-Benedetti – Softonic.com. Adapté de l’espagnol.

Heartbleed, Twitter, Facebook et Windows XP dans la Minute Softonic

La Minute Softonic, votre condensé d’high-tech en une minute. Toute l’actualité logicielle de la semaine avec Heartbleed, Twitter, Facebook et Windows XP.

Heartbleed menace Internet

Une faille de sécurité dans une bibliothèque de chiffrement OpenSSL a mise à nu les données de millions d’utilisateurs. Il a fallu deux ans pour détecter le bug. Des milliers de sites sont concernés comme vous pourrez le voir en lisant notre article.

Twitter change de look

Le nouveau design de Twitter n’est pas sans rappeler un autre réseau social. En effet la ressemblance avec Facebook n’est pas anodine. Twitter veut que les nouveaux utilisateurs ne soient pas sans repère. Ainsi tous les nouveaux comptes créés à partir d’aujourd’hui auront cet aspect.

Facebook supprime sa messagerie

La firme de Mark Zuckerberg veut imposer le téléchargement de Facebook Messenger. Jusqu’à présent il était également possible d’écrire des messages depuis l’application principale, ce qui était très pratique.

Windows XP, pour toujours

Microsoft abandonne Windows XP, un de ses plus grands succès. L’équipe de Redmond veut encourager le téléchargement et l’installation de la dernière version de Windows 8. Cependant, nombreux sont ceux qui cherchent à étendre la durée de vie de leur vieux système d’exploitation.


brightcove.createExperiences();

Des infos manquantes? N’hésitez pas à partager vos informations dans les commentaires.

Vous avez raté un épisode? Retrouvez toutes les Minutes Softonic sur notre blog.

Heartbleed c’est quoi? Les 5 étapes pour protéger ses comptes

Pendant des années, vos données ont été menacées et vous ne le saviez pas. La cause ? Le bug Heartbleed. Mais ne paniquez pas, voici cinq étapes à suivre pour vous en protéger.

Vous voyez le cadenas qui apparaît dans la barre d’adresse de votre navigateur ? Ce cadenas vous indique que la connexion est sécurisée, que les données qui transitent entre votre PC et la page Internet sont chiffrées et que personne ne peut y avoir accès. Outre le cadenas, vous pouvez voir que l’adresse commence par HTTPS, dans lequel le « S » signifie « Sécurisée ». C’est un code à l’épreuve des regards indiscrets que personne ne peut briser par des méthodes traditionnelles.

Mais les menaces informatiques se font de plus en plus puissantes et le cadenas de votre navigateur n’est plus si sûr. La menace que l’on a découverte, nommée Heartbleed est très sérieuse dans la mesure où elle permet à n’importe qui de passer outre le cadenas et de lire tout ce qui transite par votre ordinateur. En d’autres termes, quiconque sait comment l’outrepasser peut avoir accès à une partie de vos données. L’attaque n’a pas même pas besoin de passer le serveur, il suffit que vous répondiez à une « question » particulière.

On estime que 17,5 % des sites Internet qui utilisent ce cadenas sont vulnérables, ce qui signifie qu’ils sont tous menacés ou ont déjà été attaqués. La bonne nouvelle c’est qu’une solution a déjà été trouvée pour ce problème. OpenSSL, le cadenas par défaut, a été mis à jour pour passer à la version 1.0.1g, la plus sécurisée. Mais les dommages sont faits et il n’est pas possible de savoir à 100 % si vos mots de passe ont été dérobés ou non.

Il vous faut vous atteler à cette tâche dès maintenant. Suivez ces étapes.

Cinq étapes pour être sécurisé

Modifier immédiatement tous vos mots de passe n’est pas la solution car si le site Internet pour lequel vous les utilisez est vulnérable, votre nouveau mot de passe ne vous protégera pas plus que l’ancien. Je vous recommande de vérifier tout de suite si les sites que vous utilisez sont vulnérables en utilisant Heartbleed Test.

  1. Fermez votre session sur toutes les pages Internet en cliquant sur « Quitter » ou « Fermer la cession ». Vous devez cesser toute connexion / utilisation des sites potentiellement affectés.
  2. Vérifiez l’état de chaque site Internet en utilisant Heartbleed Test gratuitement.
  3. Si le résultat du test est vert, entrez sur le site et changez votre mot de passe par un nouveau plus puissant et unique.
  4. Si vous n’êtes pas en vert, attendez et recommencez le test plus tard jusqu’à obtenir un résultat vert.
  5. Si vous recevez des emails vous invitant à changer votre mot de passe, faites-le, mais vérifiez tout d’abord qu’ils ne sont pas faux, certains criminels peuvent profiter de la panique pour vous dérober des mots de passe.

Heartbleed Test

Modifiez uniquement le mot de passe de votre compte si le résultat du Heartbleed Test est vert (sécurisé)

Si vous changez de mot de passe, n’utilisez pas le même ou un vieux mot de passe : si vous faites ceci et que l’un de vos comptes est piraté, ils deviendront tous vulnérables. De plus, envisagez le fait d’utiliser un gestionnaire de mots de passe comme LastPass. Les contrôles de sécurité de LastPass vous indiqueront si vous pouvez changer votre mot de passe ou s’il vaut mieux attendre :

LastPass ne gère pas uniquement vos mots de passe, mais vous indique également à quel moment les modifier

LastPass ne gère pas uniquement vos mots de passe, mais vous indique également à quel moment les modifier

Deux conseils de sécurité pour l’avenir

Activez la vérification en deux étapes : un code est envoyé sur votre téléphone lorsque vous entrez sur site Internet pour la première fois et empêche l’accès à votre compte, même si quelqu’un a le mot de passe. Vous pouvez le faire pour GoogleMicrosoftFacebookDropBoxWordPress et beaucoup d’autres services.

Et quand vous avez du temps, fermez les comptes inactifs ou que vous n’utilisez pas, car certains sites Internet peuvent ne pas avoir été mis à jour ou être toujours vulnérables. Minimiser le nombre de comptes que vous utilisez vraiment est une mesure préventive très efficace pour éviter que les données de vos comptes principaux ne vous soient dérobées.

Internet sera plus sécurisé

Il y a une leçon positive à tirer de tout ceci : malgré la gravité de cette menace, sa découverte et la solution ont permis de renforcer la sécurité des sites Internet et des applications que nous utilisons au quotidien et de sensibiliser les utilisateurs sur la nécessité de faire appel à des systèmes d’identification plus sécurisés.

Vous le savez donc : améliorez dès aujourd’hui la sécurité de vos données grâce à la vérification en deux étapes et un bon gestionnaire de mots de passe. Et si vous commencez à vous intéresser aux technologies du cryptage et de la dissimulation de données, c’est encore mieux : vous pourrez éviter que ce type de crise ne vous affecte.

Et vous, que pensez-vous de cette grande menace ?

Articles liés :

Article original écrit par  – Softonic.com. Adapté de l’espagnol.

Quels sont les principaux sites affectés par la faille Heartbleed?

La faille de sécurité Heartbleed fait couler beaucoup d’encre sur le web. Mais quels sont les principaux sites affectés? Voici une première liste. Il est recommandé de changer votre mot de passe si vous êtes un utilisateur de ces sites même si la probabilité que quelqu’un ait accès à vos données sensibles soit très faible.

Pour rappel, nous parlons d’une des failles de sécurité les plus importantes jamais découvertes sur le web. Baptisée Heartbleed, il s’agit d’un bug qui met en danger les deux tiers des sites web dans le monde. Heartbleed est une erreur qui affecte la bibliothèque de chiffrement OpenSSL, un des systèmes les plus utilisés pour crypter le trafic. En théorie donc, cette faille de sécurité permet le vol des noms d’utilisateur, des mots de passe et le contenu sans laisser de traces.

Les grands acteurs du web ont été massivement touchés par cette faille: Google (dont Gmail, YouTube, Wallet,Play) Yahoo, Yahoo Mail, Facebook, Instagram, Pinterest, Amazon Web Services et ironie du sort, LastPass, le fameux gestionnaire de mot de passe.

Les services de stockage en ligne ont aussi souffert de Heartbleed, comme Dropbox et Box. Enfin le très populaire jeu Minecraft est lui aussi une des victimes de la faille.

De son côté, Apple ne serait pas affecté ni Twitter et les services de Microsoft. Les équipes de WordPress seraient, quant à eux, encore au travail pour résoudre la faille.

Vous avez un doute au sujet d’un site que vous utilisez? Le site Filippo.io a créé une page de test. Vous entrez l’adresse URL du site et vous pouvez vérifier tout de suite si il a été victime de cette faille. Une liste complète est aussi disponible sur le site Github.com

On estime que les deux tiers du trafic Internet utilise OpenSSL. En attendant, nous vous recommandons de mettre à jour votre mot de passe mais seulement après s’être assuré que le site a mis à jour OpenSSL.

Sur le même sujet:

Suivez-moi sur Twitter: @xophe