{"id":108465,"date":"2014-10-29T11:48:43","date_gmt":"2014-10-29T10:48:43","guid":{"rendered":"http:\/\/onsoftware.softonic.fr\/?p=108465"},"modified":"2025-06-12T11:30:06","modified_gmt":"2025-06-12T10:30:06","slug":"securite-web-7-failles-2014","status":"publish","type":"post","link":"https:\/\/cms-articles.softonic.io\/fr\/securite-web-7-failles-2014\/","title":{"rendered":"S\u00e9curit\u00e9 du web: les 7 failles les plus inqui\u00e9tantes de 2014"},"content":{"rendered":"

Y a pas \u00e0 dire, entre vols de donn\u00e9es, vagues de paniques, hacks, failles de s\u00e9curit\u00e9 et fuites diverses de photos, l’ann\u00e9e 2014 aura \u00e9t\u00e9 faste en cyber-frayeurs<\/strong>. On aura plusieurs fois fris\u00e9 la datastrophe. Bruyamment relay\u00e9s par les m\u00e9dias qui se plaisent \u00e0 entretenir la m\u00e9fiance vis-\u00e0-vis de la toute-puissance du web, les m\u00e9faits des hackers, toujours plus nombreux, plus sournois, plus habiles, nous incitent \u00e0 la cyber-parano.<\/p>\n

Doit-on encore confier nos donn\u00e9es \u00e0 l’aveuglette? Le cloud est-il en mesure de prot\u00e9ger notre vie priv\u00e9e? Qui peut utiliser nos photos? nos fichiers? nos mots de passe? nos comptes? En un mot, au moment o\u00f9 s’ach\u00e8ve cette ann\u00e9e 2014, qu’en est-il de la s\u00e9curit\u00e9 en ligne<\/strong>? Faisons le point.<\/p>\n

Heartbleed<\/h3>\n

Voici sans doute un des plus grands bugs de s\u00e9curit\u00e9 de l’ann\u00e9e. Heartbleed<\/a> a d\u00e9voil\u00e9 une faille de s\u00e9curit\u00e9 qui affectait la plupart des sites web. Le bug a \u00e9t\u00e9 d\u00e9couvert dans la biblioth\u00e8que de cryptage OpenSSL, un r\u00e9pertoire open source qui prot\u00e8ge les pseudos et les mots de passe des internautes. La faille a r\u00e9v\u00e9l\u00e9 que n’importe quel hacker interceptant une connexion potentiellement compromise (c’est-\u00e0-dire mal encrypt\u00e9e) pouvait r\u00e9cup\u00e9rer votre nom d’utilisateur et votre mot de passe. Le pire, ce n’est m\u00eame pas que 66% des sites web utilisaient (et utilisent toujours) le cryptage OpenSSL: c’est que la faille soit pass\u00e9e inaper\u00e7ue pendant deux ans<\/strong>. En d’autres termes, les hackers ont eu le champ libre pour r\u00e9colter des pseudos et des mots de passe pendant un bon moment.<\/p>\n

\"Heartbleed\"<\/a><\/p>\n

Depuis sa d\u00e9couverte en avril, la plupart des grands sites concern\u00e9s ont corrig\u00e9 ce bug, redonnant une certaine (relative) s\u00e9curit\u00e9 \u00e0 leurs sites web.<\/p>\n

Snapchat<\/h3>\n

Bien que l’appli elle-m\u00eame ait \u00e9t\u00e9 hack\u00e9e plus t\u00f4t dans l’ann\u00e9e<\/a>, d\u00e9voilant les pseudos et num\u00e9ros de t\u00e9l\u00e9phones de plus de 4 millions de personnes, les utilisateurs de Snapchat<\/a> ont trembl\u00e9 lorsque le populaire site Snapsaved, \u00e9dit\u00e9 par des tiers, a subi une faille de s\u00e9curit\u00e9. Cette page web, comme son nom l’indique, permet aux utilisateurs de Snapchat de sauvegarder leurs photos et leurs vid\u00e9os. Les hackers ont d\u00e9rob\u00e9 plus de 200 000 images et vid\u00e9os<\/strong>, dont beaucoup se sont retrouv\u00e9es sur les forums anonymes de 4chan, il y a de \u00e7a quelques semaines.<\/p>\n

\"Snapchat<\/p>\n

Snapchat est souvent utilis\u00e9 pour envoyer des images plut\u00f4t, disons, “personnelles”, ce qui pose d’autant plus de probl\u00e8mes que le site est populaire chez les mineurs. Snapsaved.com a depuis cess\u00e9 ses activit\u00e9s et 4chan a retir\u00e9 les photos, mais \u00e7a ne signifie pas que vous \u00eates compl\u00e8tement \u00e0 l’abri. Snapsaved et des applis similaires exploitent les acc\u00e8s d\u00e9rob\u00e9s d’une API (Application Programming Interface) accessible au public pour intercepter et sauvegarder vos photos. Mieux vaut sans doute \u00e9viter les applis tierces qui communiquent avec Snapchat (ainsi que Snapchat lui-m\u00eame, pas toujours irr\u00e9prochable sur le plan de la s\u00e9curit\u00e9) si vous ne voulez pas risquer de voir vos photos dans la nature.<\/p>\n

iCloud<\/h3>\n

Cette fuite de photos a eu un \u00e9cho consid\u00e9rable dans la presse, du fait de la notori\u00e9t\u00e9 mondiale des c\u00e9l\u00e9brit\u00e9s<\/strong> qui \u00e9taient vis\u00e9es par ces attaques. Mais la faille de s\u00e9curit\u00e9 exp\u00e9riment\u00e9e par iCloud en septembre<\/a> n’a pas suffi \u00e0 effrayer l’utilisateur Lambda. La fuite n’\u00e9tait pas vraiment li\u00e9e \u00e0 une vuln\u00e9rabilit\u00e9 logicielle en soi: les hackers ont plus exactement d\u00e9couvert une lacune dans le syst\u00e8me de s\u00e9curit\u00e9 qu’ils ont exploit\u00e9e au moyen de logiciels tiers, pour acc\u00e9der aux comptes de sauvegarde d’iCloud<\/a>, en ciblant ceux des c\u00e9l\u00e9brit\u00e9s. La panique a \u00e9t\u00e9 caus\u00e9e par le fait que n’importe qui pouvait potentiellement acc\u00e9der \u00e0 des photos “sensibles” stock\u00e9es sur un appareil iOS. L’absence de validation en deux \u00e9tapes<\/a> a \u00e9t\u00e9 point\u00e9e du doigt pour expliquer la vuln\u00e9rabilit\u00e9 d’iCloud.<\/p>\n

\"iCloud\"<\/p>\n

Depuis, Apple a nettement modifi\u00e9 ses services de stockage iCloud \u00e0 l’occasion de la sortie d’iOS 8. Vous recevrez notamment un email s’il y a eu acc\u00e8s \u00e0 votre compte depuis un autre emplacement, et le syst\u00e8me rend la t\u00e2che bien plus difficile aux hackers qui voudraient s’aventurer sur vos comptes. L’authentification en deux \u00e9tapes<\/a> est maintenant obligatoire, et Apple vous force \u00e0 g\u00e9n\u00e9rer des mots de passe distincts pour chaque appli qui n’est pas compatible avec l’authentification en deux \u00e9tapes.<\/p>\n

eBay<\/h3>\n

En mai, eBay a annonc\u00e9 que l’int\u00e9grit\u00e9 de son site web avait \u00e9t\u00e9 compromise par une faille de s\u00e9curit\u00e9 vieille de quelques mois. Au moyen du compte d’un employ\u00e9, les hackers ont pu acc\u00e9der aux donn\u00e9es des utilisateurs<\/strong>. Cependant, les informations d\u00e9rob\u00e9es ne contenaient pas de donn\u00e9es bancaires, et concernaient essentiellement les emails et les adresses physiques des utilisateurs, ainsi que leurs mots de passe et leurs dates de naissance. Paypal, le partenaire d’eBay qui g\u00e8re les transactions financi\u00e8res, n’a heureusement pas \u00e9t\u00e9 frapp\u00e9 par cette attaque, ce qui aurait pu causer des d\u00e9g\u00e2ts d’une autre ampleur.<\/p>\n

\"Ebay<\/p>\n

eBay a d\u00e9clar\u00e9 ne pas avoir d\u00e9tect\u00e9 d’activit\u00e9 suspicieuse lors des mois pr\u00e9c\u00e9dant la d\u00e9couverte de la faille, mais il a recommand\u00e9 aux 145 millions d’utilisateurs concern\u00e9s de modifier leur mot de passe.<\/p>\n

Internet Explorer<\/h3>\n

Un quart du march\u00e9 des navigateurs internet a \u00e9t\u00e9 affect\u00e9 en avril, lorsque Microsoft a annonc\u00e9 une faille critique de s\u00e9curit\u00e9 dans les versions 6 \u00e0 11 d’Internet Explorer<\/strong>. De fait, Microsoft a pris la menace au s\u00e9rieux, au point de sortir une mise \u00e0 jour de s\u00e9curit\u00e9 pour Windows XP, alors m\u00eame qu’il avait cess\u00e9 le support officiel de ce syst\u00e8me d’exploitation, p\u00e9rim\u00e9 depuis quelques semaines.<\/p>\n

\"Internet<\/p>\n

La vuln\u00e9rabilit\u00e9 mettait les utilisateurs d’Internet Explorer \u00e0 la merci des hackers en octroyant \u00e0 ces derniers les droits d’administrateur \u00e0 distance, leur permettant de s’introduire dans le syst\u00e8me et d’installer des malwares. Heureusement, la vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 corrig\u00e9e quelques jours apr\u00e8s avoir \u00e9t\u00e9 d\u00e9couverte.<\/p>\n

Adobe Flash<\/h3>\n

Adobe a sorti en urgence une mise \u00e0 jour de Flash cet \u00e9t\u00e9, apr\u00e8s qu’une faille de s\u00e9curit\u00e9 ait mis les cookies du navigateur \u00e0 la merci des pirates. Les cookies sont des donn\u00e9es qui permettent au navigateur de se souvenir de votre comportement sur des sites web, afin de rendre votre exp\u00e9rience plus fluide, par exemple en \u00e9vitant de retaper son mot de passe \u00e0 chaque connexion. Cette vuln\u00e9rabilit\u00e9, techniquement complexe, permettait aux pirates d’intercepter ces cookies, et de se faire passer pour d’autres internautes sur les sites web<\/strong> concern\u00e9s.<\/p>\n

\"Adobe<\/p>\n

Flash \u00e9tant embarqu\u00e9 par des milliers de sites, y compris YouTube<\/a>, Google ou Tumblr, sa vuln\u00e9rabilit\u00e9 a compromis la s\u00e9curit\u00e9 d’un grand nombre d’internautes. Heureusement, le patch a \u00e9t\u00e9 mis \u00e0 jour rapidement, avant que des d\u00e9g\u00e2ts majeurs soient d\u00e9tect\u00e9s.<\/p>\n

Shellshock Bash<\/h3>\n

D\u00e9couverte le mois dernier, Shellshock Bash<\/a> pouvait potentiellement devenir la plus vaste et la plus effrayante des failles de s\u00e9curit\u00e9 jamais connues. Apparue sur Mac OS X, Linux et les syst\u00e8mes Unix, elle donnait aux hackers la possibilit\u00e9 d’ex\u00e9cuter des commandes \u00e0 distance sur des ordinateurs<\/strong>, des appareils et des sites web.<\/p>\n

\"Shellshock<\/p>\n

Bash est un interpr\u00e9teur de commande largement utilis\u00e9 par des PC portables, des routeurs ou des sites web. Sa vuln\u00e9rabilit\u00e9 aurait pu affecter des centaines de millions de dispositifs. Apr\u00e8s avoir d\u00e9couvert le bug de Bash, les hackers ont imm\u00e9diatement test\u00e9 les sites web pour savoir lesquels \u00e9taient les plus expos\u00e9s. De nombreuses compagnies, dont Apple, ont rapidement corrig\u00e9 le bug, mais le bug de Bash est toujours potentiellement dangereux pour les serveurs web faisant fonctionner de nombreux sites.<\/p>\n

Cela dit, ne vous inqui\u00e9tez pas. Vous \u00eates sans doute hors de danger, vu que la plupart des \u00e9diteurs de logiciel ont corrig\u00e9 le bug. Mais comme on n’est jamais trop prudent, vous pouvez vous prot\u00e9ger en mettant \u00e0 jour votre ordinateur et vos dispositifs, en installant la derni\u00e8re actualisation logicielle.<\/p>\n

Pas de panique<\/h3>\n

Il semblerait que les failles de s\u00e9curit\u00e9 sont devenues monnaie courante de nos jours, mais bien qu’elles \u00e9chappent \u00e0 notre champ d’action, vous pouvez vous prot\u00e9ger par des moyens simples \u00e0 mettre en \u0153uvre<\/strong>.<\/p>\n

Tout d’abord, vous pouvez utiliser des g\u00e9n\u00e9rateurs de mots de passe<\/a>, pour s’assurer qu’ils sont tous distincts et incassables. Utilisez l’authentification en deux \u00e9tapes<\/a> d\u00e8s que possible, mettez \u00e0 jour vos logiciels \u00e0 la derni\u00e8re version, car les actualisations contiennent souvent des patchs de s\u00e9curit\u00e9 et des corrections de bugs. Et autant que possible, \u00e9vitez les applis d\u00e9velopp\u00e9es par des tiers ou des services aux r\u00e8gles de s\u00e9curit\u00e9 ou aux param\u00e8tres n\u00e9buleux.<\/p>\n

A lire aussi:<\/strong><\/p>\n