Tag: OpenSSL

Sécurité du web: les 7 failles les plus inquiétantes de 2014

Y a pas à dire, entre vols de données, vagues de paniques, hacks, failles de sécurité et fuites diverses de photos, l’année 2014 aura été faste en cyber-frayeurs. On aura plusieurs fois frisé la datastrophe. Bruyamment relayés par les médias qui se plaisent à entretenir la méfiance vis-à-vis de la toute-puissance du web, les méfaits des hackers, toujours plus nombreux, plus sournois, plus habiles, nous incitent à la cyber-parano.

Doit-on encore confier nos données à l’aveuglette? Le cloud est-il en mesure de protéger notre vie privée? Qui peut utiliser nos photos? nos fichiers? nos mots de passe? nos comptes? En un mot, au moment où s’achève cette année 2014, qu’en est-il de la sécurité en ligne? Faisons le point.

Heartbleed

Voici sans doute un des plus grands bugs de sécurité de l’année. Heartbleed a dévoilé une faille de sécurité qui affectait la plupart des sites web. Le bug a été découvert dans la bibliothèque de cryptage OpenSSL, un répertoire open source qui protège les pseudos et les mots de passe des internautes. La faille a révélé que n’importe quel hacker interceptant une connexion potentiellement compromise (c’est-à-dire mal encryptée) pouvait récupérer votre nom d’utilisateur et votre mot de passe. Le pire, ce n’est même pas que 66% des sites web utilisaient (et utilisent toujours) le cryptage OpenSSL: c’est que la faille soit passée inaperçue pendant deux ans. En d’autres termes, les hackers ont eu le champ libre pour récolter des pseudos et des mots de passe pendant un bon moment.

Heartbleed

Depuis sa découverte en avril, la plupart des grands sites concernés ont corrigé ce bug, redonnant une certaine (relative) sécurité à leurs sites web.

Snapchat

Bien que l’appli elle-même ait été hackée plus tôt dans l’année, dévoilant les pseudos et numéros de téléphones de plus de 4 millions de personnes, les utilisateurs de Snapchat ont tremblé lorsque le populaire site Snapsaved, édité par des tiers, a subi une faille de sécurité. Cette page web, comme son nom l’indique, permet aux utilisateurs de Snapchat de sauvegarder leurs photos et leurs vidéos. Les hackers ont dérobé plus de 200 000 images et vidéos, dont beaucoup se sont retrouvées sur les forums anonymes de 4chan, il y a de ça quelques semaines.

Snapchat Troll

Snapchat est souvent utilisé pour envoyer des images plutôt, disons, “personnelles”, ce qui pose d’autant plus de problèmes que le site est populaire chez les mineurs. Snapsaved.com a depuis cessé ses activités et 4chan a retiré les photos, mais ça ne signifie pas que vous êtes complètement à l’abri. Snapsaved et des applis similaires exploitent les accès dérobés d’une API (Application Programming Interface) accessible au public pour intercepter et sauvegarder vos photos. Mieux vaut sans doute éviter les applis tierces qui communiquent avec Snapchat (ainsi que Snapchat lui-même, pas toujours irréprochable sur le plan de la sécurité) si vous ne voulez pas risquer de voir vos photos dans la nature.

iCloud

Cette fuite de photos a eu un écho considérable dans la presse, du fait de la notoriété mondiale des célébrités qui étaient visées par ces attaques. Mais la faille de sécurité expérimentée par iCloud en septembre n’a pas suffi à effrayer l’utilisateur Lambda. La fuite n’était pas vraiment liée à une vulnérabilité logicielle en soi: les hackers ont plus exactement découvert une lacune dans le système de sécurité qu’ils ont exploitée au moyen de logiciels tiers, pour accéder aux comptes de sauvegarde d’iCloud, en ciblant ceux des célébrités. La panique a été causée par le fait que n’importe qui pouvait potentiellement accéder à des photos “sensibles” stockées sur un appareil iOS. L’absence de validation en deux étapes a été pointée du doigt pour expliquer la vulnérabilité d’iCloud.

iCloud

Depuis, Apple a nettement modifié ses services de stockage iCloud à l’occasion de la sortie d’iOS 8. Vous recevrez notamment un email s’il y a eu accès à votre compte depuis un autre emplacement, et le système rend la tâche bien plus difficile aux hackers qui voudraient s’aventurer sur vos comptes. L’authentification en deux étapes est maintenant obligatoire, et Apple vous force à générer des mots de passe distincts pour chaque appli qui n’est pas compatible avec l’authentification en deux étapes.

eBay

En mai, eBay a annoncé que l’intégrité de son site web avait été compromise par une faille de sécurité vieille de quelques mois. Au moyen du compte d’un employé, les hackers ont pu accéder aux données des utilisateurs. Cependant, les informations dérobées ne contenaient pas de données bancaires, et concernaient essentiellement les emails et les adresses physiques des utilisateurs, ainsi que leurs mots de passe et leurs dates de naissance. Paypal, le partenaire d’eBay qui gère les transactions financières, n’a heureusement pas été frappé par cette attaque, ce qui aurait pu causer des dégâts d’une autre ampleur.

Ebay hack

eBay a déclaré ne pas avoir détecté d’activité suspicieuse lors des mois précédant la découverte de la faille, mais il a recommandé aux 145 millions d’utilisateurs concernés de modifier leur mot de passe.

Internet Explorer

Un quart du marché des navigateurs internet a été affecté en avril, lorsque Microsoft a annoncé une faille critique de sécurité dans les versions 6 à 11 d’Internet Explorer. De fait, Microsoft a pris la menace au sérieux, au point de sortir une mise à jour de sécurité pour Windows XP, alors même qu’il avait cessé le support officiel de ce système d’exploitation, périmé depuis quelques semaines.

Internet Explorer

La vulnérabilité mettait les utilisateurs d’Internet Explorer à la merci des hackers en octroyant à ces derniers les droits d’administrateur à distance, leur permettant de s’introduire dans le système et d’installer des malwares. Heureusement, la vulnérabilité a été corrigée quelques jours après avoir été découverte.

Adobe Flash

Adobe a sorti en urgence une mise à jour de Flash cet été, après qu’une faille de sécurité ait mis les cookies du navigateur à la merci des pirates. Les cookies sont des données qui permettent au navigateur de se souvenir de votre comportement sur des sites web, afin de rendre votre expérience plus fluide, par exemple en évitant de retaper son mot de passe à chaque connexion. Cette vulnérabilité, techniquement complexe, permettait aux pirates d’intercepter ces cookies, et de se faire passer pour d’autres internautes sur les sites web concernés.

Adobe Flash

Flash étant embarqué par des milliers de sites, y compris YouTube, Google ou Tumblr, sa vulnérabilité a compromis la sécurité d’un grand nombre d’internautes. Heureusement, le patch a été mis à jour rapidement, avant que des dégâts majeurs soient détectés.

Shellshock Bash

Découverte le mois dernier, Shellshock Bash pouvait potentiellement devenir la plus vaste et la plus effrayante des failles de sécurité jamais connues. Apparue sur Mac OS X, Linux et les systèmes Unix, elle donnait aux hackers la possibilité d’exécuter des commandes à distance sur des ordinateurs, des appareils et des sites web.

Shellshock Bash

Bash est un interpréteur de commande largement utilisé par des PC portables, des routeurs ou des sites web. Sa vulnérabilité aurait pu affecter des centaines de millions de dispositifs. Après avoir découvert le bug de Bash, les hackers ont immédiatement testé les sites web pour savoir lesquels étaient les plus exposés. De nombreuses compagnies, dont Apple, ont rapidement corrigé le bug, mais le bug de Bash est toujours potentiellement dangereux pour les serveurs web faisant fonctionner de nombreux sites.

Cela dit, ne vous inquiétez pas. Vous êtes sans doute hors de danger, vu que la plupart des éditeurs de logiciel ont corrigé le bug. Mais comme on n’est jamais trop prudent, vous pouvez vous protéger en mettant à jour votre ordinateur et vos dispositifs, en installant la dernière actualisation logicielle.

Pas de panique

Il semblerait que les failles de sécurité sont devenues monnaie courante de nos jours, mais bien qu’elles échappent à notre champ d’action, vous pouvez vous protéger par des moyens simples à mettre en œuvre.

Tout d’abord, vous pouvez utiliser des générateurs de mots de passe, pour s’assurer qu’ils sont tous distincts et incassables. Utilisez l’authentification en deux étapes dès que possible, mettez à jour vos logiciels à la dernière version, car les actualisations contiennent souvent des patchs de sécurité et des corrections de bugs. Et autant que possible, évitez les applis développées par des tiers ou des services aux règles de sécurité ou aux paramètres nébuleux.

A lire aussi:

Article original de Zuzanna Blaszkiewicz– Softonic.com. Traduit et adapté de l’anglais.

Heartbleed c’est quoi? Les 5 étapes pour protéger ses comptes

Pendant des années, vos données ont été menacées et vous ne le saviez pas. La cause ? Le bug Heartbleed. Mais ne paniquez pas, voici cinq étapes à suivre pour vous en protéger.

Vous voyez le cadenas qui apparaît dans la barre d’adresse de votre navigateur ? Ce cadenas vous indique que la connexion est sécurisée, que les données qui transitent entre votre PC et la page Internet sont chiffrées et que personne ne peut y avoir accès. Outre le cadenas, vous pouvez voir que l’adresse commence par HTTPS, dans lequel le « S » signifie « Sécurisée ». C’est un code à l’épreuve des regards indiscrets que personne ne peut briser par des méthodes traditionnelles.

Mais les menaces informatiques se font de plus en plus puissantes et le cadenas de votre navigateur n’est plus si sûr. La menace que l’on a découverte, nommée Heartbleed est très sérieuse dans la mesure où elle permet à n’importe qui de passer outre le cadenas et de lire tout ce qui transite par votre ordinateur. En d’autres termes, quiconque sait comment l’outrepasser peut avoir accès à une partie de vos données. L’attaque n’a pas même pas besoin de passer le serveur, il suffit que vous répondiez à une « question » particulière.

On estime que 17,5 % des sites Internet qui utilisent ce cadenas sont vulnérables, ce qui signifie qu’ils sont tous menacés ou ont déjà été attaqués. La bonne nouvelle c’est qu’une solution a déjà été trouvée pour ce problème. OpenSSL, le cadenas par défaut, a été mis à jour pour passer à la version 1.0.1g, la plus sécurisée. Mais les dommages sont faits et il n’est pas possible de savoir à 100 % si vos mots de passe ont été dérobés ou non.

Il vous faut vous atteler à cette tâche dès maintenant. Suivez ces étapes.

Cinq étapes pour être sécurisé

Modifier immédiatement tous vos mots de passe n’est pas la solution car si le site Internet pour lequel vous les utilisez est vulnérable, votre nouveau mot de passe ne vous protégera pas plus que l’ancien. Je vous recommande de vérifier tout de suite si les sites que vous utilisez sont vulnérables en utilisant Heartbleed Test.

  1. Fermez votre session sur toutes les pages Internet en cliquant sur « Quitter » ou « Fermer la cession ». Vous devez cesser toute connexion / utilisation des sites potentiellement affectés.
  2. Vérifiez l’état de chaque site Internet en utilisant Heartbleed Test gratuitement.
  3. Si le résultat du test est vert, entrez sur le site et changez votre mot de passe par un nouveau plus puissant et unique.
  4. Si vous n’êtes pas en vert, attendez et recommencez le test plus tard jusqu’à obtenir un résultat vert.
  5. Si vous recevez des emails vous invitant à changer votre mot de passe, faites-le, mais vérifiez tout d’abord qu’ils ne sont pas faux, certains criminels peuvent profiter de la panique pour vous dérober des mots de passe.

Heartbleed Test

Modifiez uniquement le mot de passe de votre compte si le résultat du Heartbleed Test est vert (sécurisé)

Si vous changez de mot de passe, n’utilisez pas le même ou un vieux mot de passe : si vous faites ceci et que l’un de vos comptes est piraté, ils deviendront tous vulnérables. De plus, envisagez le fait d’utiliser un gestionnaire de mots de passe comme LastPass. Les contrôles de sécurité de LastPass vous indiqueront si vous pouvez changer votre mot de passe ou s’il vaut mieux attendre :

LastPass ne gère pas uniquement vos mots de passe, mais vous indique également à quel moment les modifier

LastPass ne gère pas uniquement vos mots de passe, mais vous indique également à quel moment les modifier

Deux conseils de sécurité pour l’avenir

Activez la vérification en deux étapes : un code est envoyé sur votre téléphone lorsque vous entrez sur site Internet pour la première fois et empêche l’accès à votre compte, même si quelqu’un a le mot de passe. Vous pouvez le faire pour GoogleMicrosoftFacebookDropBoxWordPress et beaucoup d’autres services.

Et quand vous avez du temps, fermez les comptes inactifs ou que vous n’utilisez pas, car certains sites Internet peuvent ne pas avoir été mis à jour ou être toujours vulnérables. Minimiser le nombre de comptes que vous utilisez vraiment est une mesure préventive très efficace pour éviter que les données de vos comptes principaux ne vous soient dérobées.

Internet sera plus sécurisé

Il y a une leçon positive à tirer de tout ceci : malgré la gravité de cette menace, sa découverte et la solution ont permis de renforcer la sécurité des sites Internet et des applications que nous utilisons au quotidien et de sensibiliser les utilisateurs sur la nécessité de faire appel à des systèmes d’identification plus sécurisés.

Vous le savez donc : améliorez dès aujourd’hui la sécurité de vos données grâce à la vérification en deux étapes et un bon gestionnaire de mots de passe. Et si vous commencez à vous intéresser aux technologies du cryptage et de la dissimulation de données, c’est encore mieux : vous pourrez éviter que ce type de crise ne vous affecte.

Et vous, que pensez-vous de cette grande menace ?

Articles liés :

Article original écrit par  – Softonic.com. Adapté de l’espagnol.

Quels sont les principaux sites affectés par la faille Heartbleed?

La faille de sécurité Heartbleed fait couler beaucoup d’encre sur le web. Mais quels sont les principaux sites affectés? Voici une première liste. Il est recommandé de changer votre mot de passe si vous êtes un utilisateur de ces sites même si la probabilité que quelqu’un ait accès à vos données sensibles soit très faible.

Pour rappel, nous parlons d’une des failles de sécurité les plus importantes jamais découvertes sur le web. Baptisée Heartbleed, il s’agit d’un bug qui met en danger les deux tiers des sites web dans le monde. Heartbleed est une erreur qui affecte la bibliothèque de chiffrement OpenSSL, un des systèmes les plus utilisés pour crypter le trafic. En théorie donc, cette faille de sécurité permet le vol des noms d’utilisateur, des mots de passe et le contenu sans laisser de traces.

Les grands acteurs du web ont été massivement touchés par cette faille: Google (dont Gmail, YouTube, Wallet,Play) Yahoo, Yahoo Mail, Facebook, Instagram, Pinterest, Amazon Web Services et ironie du sort, LastPass, le fameux gestionnaire de mot de passe.

Les services de stockage en ligne ont aussi souffert de Heartbleed, comme Dropbox et Box. Enfin le très populaire jeu Minecraft est lui aussi une des victimes de la faille.

De son côté, Apple ne serait pas affecté ni Twitter et les services de Microsoft. Les équipes de WordPress seraient, quant à eux, encore au travail pour résoudre la faille.

Vous avez un doute au sujet d’un site que vous utilisez? Le site Filippo.io a créé une page de test. Vous entrez l’adresse URL du site et vous pouvez vérifier tout de suite si il a été victime de cette faille. Une liste complète est aussi disponible sur le site Github.com

On estime que les deux tiers du trafic Internet utilise OpenSSL. En attendant, nous vous recommandons de mettre à jour votre mot de passe mais seulement après s’être assuré que le site a mis à jour OpenSSL.

Sur le même sujet:

Suivez-moi sur Twitter: @xophe