Découragé par les retombées de Heartbleed? Tu n'es pas seul. Le petit bug de la bibliothèque SSL la plus populaire au monde a creusé d'énormes failles dans la sécurité de notre les communications avec toutes sortes de sites Web, d'applications et de services basés sur le cloud - et les failles ne sont même pas toutes encore patché.
Le bug Heartbleed a permis aux attaquants de retirer le revêtement résistant aux espions d'OpenSSL et de jeter un coup d'œil aux communications entre le client et le serveur. Cela a permis aux pirates d'examiner des éléments tels que les mots de passe et les cookies de session, qui sont de petits éléments de données que le le serveur vous envoie après votre connexion et votre navigateur renvoie chaque fois que vous faites quelque chose afin de prouver que c'est toi. Et si le bug affectait un site financier, d'autres informations sensibles que vous transfériez sur le Net, comme des informations de carte de crédit ou des informations fiscales, pourraient avoir été vues.
Vidéos recommandées
Comment Internet peut-il se protéger au mieux contre des bugs catastrophiques comme celui-ci? Nous avons quelques idées.
Oui, vous avez besoin de mots de passe plus sûrs: voici comment les créer
D’accord, de meilleurs mots de passe n’empêcheraient pas le prochain Heartbleed, mais ils pourraient vous éviter d’être piraté un jour. Beaucoup de gens sont tout simplement incapables de créer des mots de passe sécurisés.
Vous avez déjà entendu tout cela: n’utilisez pas « mot de passe1 », « mot de passe2 », etc. La plupart des mots de passe n’ont pas assez de ce qu’on appelle l’entropie. pas aléatoire et ils volonté être deviné si un attaquant a l'opportunité de faire beaucoup de suppositions, soit en martelant le service, soit (plus probablement) voler les hachages de mots de passe: dérivations mathématiques des mots de passe qui peuvent être vérifiées mais non inversées pour revenir à l'original mot de passe.
Quoi que vous fassiez, n’utilisez pas le même mot de passe à plusieurs endroits.
Les logiciels ou services de gestion de mots de passe utilisant le cryptage de bout en bout peuvent également être utiles. GarderPass est un bon exemple du premier; Dernier passage du dernier. Protégez bien votre courrier électronique, car il peut être utilisé pour réinitialiser la plupart de vos mots de passe. Et quoi que vous fassiez, n’utilisez pas le même mot de passe à plusieurs endroits: vous ne faites que créer des ennuis.
Les sites Web doivent implémenter des mots de passe à usage unique
OTP signifie « mot de passe à usage unique » et vous pouvez déjà l'utiliser si vous avez configuré un site Web/un service qui vous oblige à utiliser Authentificateur Google. La plupart de ces authentificateurs (y compris celui de Google) utilisent une norme Internet appelée TOTP, ou Time-based One-Time Password, qui est décrit ici.
Qu’est-ce que le TOTP ? En un mot, le site Web sur lequel vous vous trouvez génère un numéro secret, qui est transmis une fois à votre programme d'authentification, généralement via un QR Code. Dans la variation temporelle, un nouveau numéro à six chiffres est généré à partir de ce numéro secret toutes les 30 secondes. Le site Web et le client (votre ordinateur) n’ont pas besoin de communiquer à nouveau; les numéros sont simplement affichés sur votre authentificateur et vous les fournissez au site Web comme demandé en conjonction avec votre mot de passe, et vous y êtes. Il existe également une variante qui fonctionne en vous envoyant les mêmes codes via un message texte.
Avantages du TOTP : Même si Heartbleed ou un bug similaire entraînait la divulgation de votre mot de passe et du numéro de votre authentifiant, le site Web sur lequel vous vous trouvez interagir avec a presque certainement déjà marqué ce numéro comme utilisé et il ne pourra plus être utilisé – et il sera de toute façon invalide dans les 30 secondes. Si un site Web n’offre pas déjà ce service, il peut probablement le faire relativement facilement, et si vous possédez pratiquement n’importe quel smartphone, vous pouvez exécuter un authentificateur. Il est certes légèrement gênant de consulter votre téléphone pour vous connecter, mais les avantages en matière de sécurité pour tout service qui vous intéresse en valent la peine.
Risques du TOTP : Pénétrer dans un serveur différent Cette méthode pourrait entraîner la divulgation du numéro secret, permettant à l'attaquant de créer son propre authentifiant. Mais si vous utilisez TOTP avec un mot de passe qui n'est pas stocké par le site Web, la plupart des bons fournisseurs stockent un mot de passe. un hachage fortement résistant à la rétro-ingénierie - alors entre les deux, votre risque est grandement abaissé.
La puissance des certificats clients (et ce qu'ils sont)
Vous n’avez probablement jamais entendu parler des certificats clients, mais ils existent en fait depuis très longtemps (au cours des années Internet, bien sûr). La raison pour laquelle vous n’en avez probablement pas entendu parler est qu’ils sont une corvée à obtenir. Il est beaucoup plus facile d’amener les utilisateurs à choisir un mot de passe, c’est pourquoi seuls les sites hautement sécurisés ont tendance à utiliser des certificats.
Qu'est-ce qu'un certificat client ? Les certificats clients prouvent que vous êtes la personne que vous prétendez être. Tout ce que vous avez à faire est de l’installer (et cela fonctionne sur de nombreux sites) dans votre navigateur, puis de choisir de l’utiliser lorsqu’un site souhaite que vous vous authentifiiez. Ces certificats sont un proche cousin des certificats SSL que les sites Web utilisent pour s'identifier sur votre ordinateur.
Le moyen le plus efficace pour un site Web de protéger vos données est de ne jamais en être en possession.
Avantages des certificats clients : Quel que soit le nombre de sites auxquels vous vous connectez avec un certificat client, le pouvoir des mathématiques est de votre côté; personne ne pourra utiliser ce même certificat pour se faire passer pour vous, même s'il observe votre session.
Risques des certificats clients : Le principal risque d'un certificat client est que quelqu'un puisse s'introduire par effraction ton ordinateur et le voler, mais il existe des mesures d'atténuation pour ce risque. Un autre problème potentiel est que les certificats clients typiques contiennent certaines informations d'identité que vous ne souhaitez peut-être pas divulguer à chaque site que vous utilisez. Bien que les certificats clients existent depuis toujours et qu'un support fonctionnel existe sur le serveur Web logiciels, il y a encore beaucoup de travail à faire, tant du côté des fournisseurs de services que des navigateurs, pour que ils travaillent Bien. Parce qu’ils sont si rarement utilisés, leur développement suscite peu d’attention.
Le plus important: le chiffrement de bout en bout
Le moyen le plus efficace pour un site Web de protéger vos données est de ne jamais en être en possession – du moins, pas d’une version qu’il peut lire. Si un site Web peut lire vos données, un attaquant disposant d'un accès suffisant peut lire vos données. C'est pourquoi nous aimons le chiffrement de bout en bout (E2EE).
Qu’est-ce que le chiffrement de bout en bout ? Cela signifie que vous Crypter les données de votre côté, et cela reste crypté jusqu'à ce qu'il parvienne à la personne à qui vous le destinez ou qu'il vous revienne.
Avantages d'E2EE : Le chiffrement de bout en bout est déjà implémenté dans quelques services, comme les services de sauvegarde en ligne. Il existe également des versions plus faibles dans certains services de messagerie, notamment celles apparues après les révélations de Snowden. Il est cependant difficile pour les sites Web d'effectuer un chiffrement de bout en bout, pour deux raisons: ils peuvent avoir besoin de voir vos données pour fournir leur service, et les navigateurs Web sont terribles pour effectuer l'E2EE. Mais à l’ère des applications pour smartphone, le chiffrement de bout en bout est quelque chose qui peut et doit être effectué plus souvent. La plupart des applications n’utilisent pas E2EE aujourd’hui, mais nous espérons en voir davantage à l’avenir. Si vos applications n'utilisent pas E2EE pour vos données sensibles, vous devriez vous plaindre.
Risques de l'E2EE : Pour que le chiffrement de bout en bout fonctionne, il doit être appliqué à tous les niveaux: si une application ou un site Web ne le fait qu’à contrecœur, tout le château de cartes peut s’effondrer. Une donnée non chiffrée peut parfois être utilisée pour accéder au reste. La sécurité est un jeu du maillon faible; un seul maillon de la chaîne ne doit pas pouvoir la briser.
Et maintenant?
De toute évidence, il n’y a pas grand-chose que vous, en tant qu’utilisateur, puissiez contrôler. Vous aurez la chance de trouver un service qui utilise des mots de passe à usage unique avec un authentificateur. Mais vous devez absolument parler aux sites Web et aux applications que vous utilisez et leur faire savoir que vous réalisez des bugs. dans les logiciels, et vous pensez qu'ils devraient prendre la sécurité plus au sérieux et ne pas simplement s'appuyer sur mots de passe.
Si davantage d’internautes utilisent ces méthodes de sécurité avancées, peut-être que la prochaine fois il y aura une catastrophe logicielle à l’échelle de Heartbleed – et là volonté ce sera finalement le cas – nous n’aurons pas à paniquer autant.
[Image gracieuseté de faux5/Shutterstock]
