Au diable. J'ai fini.
Quelqu'un m'achète un téléphone à cadran, un exemplaire des Pages Jaunes et une boîte de chèques papier. Plus rien en ligne n’est sûr.
C'est ce que je ressens après avoir affronté l'énorme Bogue OpenSSL de Heartbleed pendant une bonne partie de la semaine. Depuis deux ans, la majorité des sites Web, des applications mobiles, des systèmes d'exploitation et des services Internet que nous utilisons tous – et en tant que journaliste technique, j'utilise chemin un trop grand nombre d’entre eux – ont été une saison ouverte au piratage, tout cela grâce à une petite erreur dans quelques lignes de code dans un protocole de sécurité open source. Tous nos identifiants, mots de passe, informations de carte de crédit, données personnelles — tout; tout est là et peut-être depuis un moment. Même Gmail était vulnérable. Facebook aussi. Le problème est si vaste que nous découvrons chaque jour de nouveaux équipements et logiciels qui nécessiteront des correctifs et des réparations. Cela donne l’impression que l’an 2000 est un pet dans le vent.
Vidéos recommandées
Le pire, c’est que nous, en tant qu’utilisateurs, n’avons absolument rien fait pour provoquer cela, et nous sommes impuissants à nous protéger. Nous devons juste rester assis ici et espérer que nous ne mourrons pas de ce bug Heartbleed.
Nous ne devrions pas du tout appeler cela un « bug ». Cela ressemble plus à la horde de sauterelles du livre de l’Apocalypse. Malheureusement, même la Bible était plus optimiste que ce qui attend Internet. Ces criquets n’ont tourmenté la Terre que pendant cinq mois. Je doute que nous aurons autant de chance.
Les conseillers en sécurité nous disent des choses folles comme :
- Ne réinitialisez pas vos mots de passe tant que les services n'ont pas été corrigés
- Réinitialiser tous vos mots de passe une fois qu'un service est sécurisé, juste pour vous assurer
- Ne visitez aucun site Web concerné
- N'utilisez aucune application pour smartphone concernée
- N'effectuez pas d'achats en ligne jusqu'à ce que cela soit résolu
- Appelez toutes vos banques et services pour voir s’ils sont concernés par cela
Le problème est qu’il n’y a aucun moyen de savoir si un site Web ou une application est concerné par ce bug sans utiliser un moteur de recherche. comme Yahoo, Google ou DuckDuckGo (qui ont tous également été touchés par ce bug), ou en téléchargeant une application depuis Google Play (également affecté). La plupart d’entre nous ne parviennent probablement pas à trouver un numéro de téléphone sans effectuer une recherche sur le Web. Et les liens que vous trouverez dans ces moteurs de recherche peuvent renvoyer vers des sites eux-mêmes vulnérables. Ou vous pourriez le découvrir grâce à votre courrier électronique, qui a probablement lui-même été compromis.
Peu d’entreprises assument également une réelle responsabilité. Google a discrètement admis sur son blog que toute personne possédant un téléphone fonctionnant sous Android 4.1.1 est vulnérable à ce problème, mais n'a pas précisé quels combinés sauf en admettant à DT par e-mail qu'il « estime que l'utilisation d'Android 4.1.1 se situe à un pourcentage à un chiffre ». Cela semble petit, droite? Ce n'est pas. Il y a plus d’un milliard d’appareils Android entre les mains de personnes dans le monde, ce qui signifie qu’entre 10 et 100 millions de personnes possèdent un téléphone ouvert aux pirates. Et ces téléphones pourraient continuer à être exposés pendant des mois, jusqu'à ce que les fabricants, puis les opérateurs, de ces téléphones publient une mise à jour et que ces utilisateurs installent tous ladite mise à jour. Quand arrivent les patchs? Qui est concerné? Nous ne savons pas. Aucune entreprise ne veut être blâmée.
Lorsque chaque service est une mine potentielle et que vous courez à l’aveugle, quelle autre option avez-vous ?
Merci donc à Roomarama et Manilla d'avoir informé directement vos utilisateurs de Heartbleed. Vous êtes bien plus gentil que Google, Facebook, Yahoo, GoDaddy, TurboTax, Minecraft, OKCupid, Tumblr, Pinterest, Instagram, Dropbox, BlackBerry, Etsy, Fandango, GrubHub, Hulu, Steam, Netflix et Dieu sait combien d'autres services là-bas.
Comment diable suis-je censé inventer de nouveaux mots de passe pour tous ces services? Je ne sais pas.
Selon un Rapport Symantec, l’identité de 552 millions de personnes a été exposée en 2013 à des violations de données d’entreprises ou de gouvernements dont elles n’étaient pas responsables. En 2012, ce nombre était de 93 millions. Que nous réserve 2014? Allons-nous atteindre le milliard? Combien de fois devrai-je changer mes mots de passe l’année prochaine ?
Aujourd’hui, je vais naviguer sur le Web, utiliser des applications et faire tout ce que je fais habituellement. Je n'ai pas d'autre choix. Lorsque chaque service est une mine potentielle et que vous courez à l’aveugle, quelle autre option avez-vous ?
Je veux juste abandonner, déménager dans une cabane, voir si je peux me laisser pousser la barbe, acheter un fusil de chasse et défendre mon allée de terre fermée à l'ancienne. La vie numérique devient tellement compliquée.
[Image gracieuseté de Jens Ottoson/Photographe.eu/Shutterstock]
Recommandations des rédacteurs
- Ce bug majeur d'Apple pourrait permettre aux pirates de voler vos photos et d'effacer votre appareil
- La mise à jour iOS 15.3 d'Apple corrige un bug de sécurité critique dans Safari
- Le programme Android Bug Bounty de Google annonce un prix d'un million de dollars
