Les experts disent le bogue Heartbleed OpenSSL – une faille dans le logiciel réseau destiné à protéger vos données – a peut-être permis à des pirates informatiques de voler les données mêmes qu’il est censé protéger. Vous pensez être à l’abri de cet obscur bug d’OpenSSL, quel qu’il soit? Détrompez-vous. Un expert a noté que « presque tout le monde » l’utilise.
«Étant donné que plus de la moitié des serveurs Web dans le monde utilisent Apache et qu'Apache utilise OpenSSL, la majorité des gens utilisent applications construites régulièrement sur OpenSSL », a expliqué Steve Pate, architecte en chef de la société de services cloud. HyTrust.
Vidéos recommandées
Le bug Heartbleed est une faille de sécurité découverte dans OpenSSL, logiciel réseau largement utilisé qui crypte les données sensibles que vous saisissez sur de nombreux sites Web populaires. La faille permet aux pirates de voler des données directement à partir des puces mémoire des serveurs du monde entier et existe depuis environ deux ans. Jean Taggart, chercheur principal en sécurité chez Malwarebytes, qui fabrique des logiciels anti-malware populaires, l'a décrit comme un moyen simple pour les escrocs de balayer invisiblement vos données.
PLUS: Qu’est-ce que le virus Heartbleed ?
« Cette vulnérabilité offre aux cybercriminels une méthode pour collecter des informations très sensibles, comme des clés de chiffrement privées. Si un adversaire a extrait la clé privée via la vulnérabilité Heartbleed, il peut usurper l'identité de la victime et mettre en place une attaque de l'homme du milieu indétectable », a déclaré Taggart.
OpenSSL a toujours été vulnérable aux attaques, explique Pate, la première faille ayant été repérée par HyTrust en mai 2009. Cependant, Pate note également que même si OpenSSL 1.0.1 et 1.0.2-beta disposent déjà de correctifs de bogues Heartbleed, si les versions concernées sont utilisées, l'exploit peut avoir déjà été utilisé par des pirates pour faire glisser des informations sensibles données.
Taggart a également expliqué que l'extermination de la faille de sécurité ne sera pas une tâche facile.
« Corriger ce bug ne sera pas anodin, car même si les professionnels de la sécurité peuvent déployer une mise à niveau, nombreux sont ceux qui ne réinitialiseront pas leurs certificats car il s'agit d'une tâche longue et difficile. Ainsi, s'ils étaient compromis avant l'annonce du bug, leurs clés privées pourraient déjà être entre les mains d’adversaires, et leurs communications cryptées pourraient être interceptées par des tiers. des soirées."
PLUS: Quels sites Web sont concernés par le bug Heartbleed ?
Nathaniel Couper-Noles, consultant principal en sécurité chez entreprise de sécurité Neohapsis a déclaré que bien qu'il existe des solutions de contournement et des correctifs disponibles pour lutter contre Heartbleed, "le cheval est peut-être déjà sorti de l'écurie".
« De nombreuses organisations ne sont pas équipées pour identifier si et où elles sont vulnérables, l’attaque peut ne laisser aucun résultat. empreinte discernable du trafic légitime, et les conséquences peuvent potentiellement être à long terme », Couper-Noles dit. En plus de cela, Couper-Noles a noté qu’il pourrait y avoir « des centaines ou des milliers de systèmes concernés » dans les entreprises du monde entier.
À ce point, changer vos mots de passe est le meilleur plan d’action que vous puissiez prendre pour vous protéger du bug Heartbleed. En plus de ça, éviter les pages Web de cette liste de sites qui seraient affectés par la faille OpenSSL est également fortement recommandé.
Crédit image: http://www.wallpaperzzz.com
Recommandations des rédacteurs
- Le créateur de ChatGPT lance un programme de bug bounty avec des récompenses en espèces
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
