C'est selon une équipe de chercheurs de Codenomicon, ainsi que Neel Mehta, chercheur en sécurité chez Google. Codenomicon est une société de sécurité Web dont les clients incluent Microsoft, Verizonet Cisco Systems. Le bug Heartbleed affecterait autant que 66 pour cent des sites Web actifs dans le monde, et existe depuis environ deux ans.
Vidéos recommandées
OpenSSL est une méthode de cryptage utilisée par de nombreux sites Web qui protège les données que vous saisissez dans votre navigateur Web. OpenSSL contient une fonction connue sous le nom d’option de battement de cœur. Avec lui, lorsqu'une personne visite un site Web qui crypte les données à l'aide d'OpenSSL, son ordinateur envoie et reçoit périodiquement des messages pour vérifier si son PC et le serveur à l'autre extrémité sont toujours connectés. Le bug Heartbleed signifie que les pirates peuvent envoyer de faux messages de battement de cœur, ce qui peut inciter le serveur d'un site à relayer les données. qui est stocké dans sa RAM – y compris des informations sensibles telles que les noms d’utilisateur, les mots de passe, les numéros de carte de crédit, les e-mails et plus.
« Compte tenu de la longue exposition, de la facilité d’exploitation et des attaques ne laissant aucune trace, cette exposition doit être prise au sérieux », prévient Codenomicon.
Les chercheurs en sécurité qui ont découvert la faille affirment que les pirates qui exploitent le bug Heartbleed peuvent voler tout cela et bien plus encore, même des messages instantanés et des documents professionnels. Les chercheurs ont testé la faille par eux-mêmes et ont découvert qu'ils étaient capables de voler ces informations sans laissant aucune trace de leur attaque, et également sans bénéficier d’aucune « information privilégiée », y compris de connexion informations d'identification.
Que pouvez-vous faire pour vous protéger du bug Heartbleed ?
À part éviter les sites concernés, qui incluraient Yahoo et OkCupid, et changer vos mots de passe, vous ne pouvez pas faire grand-chose pour protéger vos données. Il appartient à chaque entreprise de mettre à jour ses sites Web et ses services pour utiliser la version corrigée d’OpenSSL, qui bouche le trou laissé par Heartbleed – stoppant ainsi l’hémorragie, pour ainsi dire. Les chercheurs qui ont dévoilé le bug affirment qu'il est de la responsabilité des fournisseurs de systèmes d'exploitation, des éditeurs de logiciels et des fournisseurs de matériel réseau d'utiliser la nouvelle version, qui ils appellent FixeSSL.
À ce stade, Amazon et Yahoo s'efforcent d'appliquer le correctif à tous leurs services, ce dernier indiquant qu'ils l'ont fait. sur la plupart des propriétés Web de haut niveau, notamment Yahoo Homepage, Yahoo Search, Yahoo Mail, Yahoo Sports, etc. Pendant ce temps, Amazon déclare avoir également appliqué le correctif à la majorité de ses services. Tu peux lire Déclaration d'Amazon à ce sujet ici.
À ce stade, on ne sait pas exactement combien de dégâts ont été causés par Heartbleed. En attendant, voici une liste de sites qui auraient été touchés. En outre, le Département américain de la sécurité intérieure a publié un article de blog, offrant ces conseils sur la façon de vous protéger de Heartbleed.
- « De nombreux sites Web couramment utilisés prennent des mesures pour s’assurer qu’ils ne sont pas affectés par cette vulnérabilité et en informer le public. Une fois que vous savez que le site Web est sécurisé, changez vos mots de passe.
- « Surveillez de près vos comptes de messagerie, vos comptes bancaires, vos comptes de réseaux sociaux et autres actifs en ligne pour activité irrégulière ou suspecte, comme des achats ou des messages anormaux »
- « Une fois qu'un site Web que vous visitez a corrigé la vulnérabilité, assurez-vous que s'il nécessite des informations personnelles, informations telles que les identifiants de connexion ou les informations de carte de crédit, elles sont sécurisées avec l'identifiant HTTPS dans le barre d'adresse. Faites attention au « s », car cela signifie sécurisé. »
Assurez-vous de lire notre guide pour Quels sites Web sont concernés par le bug Heartbleed et Comment protéger votre Android de Heartbleed. Nous disposons également d'une solide liste de Applications Android, iOS et Windows affectées par Heartbleed etServices de jeux vidéo affectés par Heartbleed.
Qu'en penses-tu? Sonnez dans les commentaires ci-dessous.
Recommandations des rédacteurs
- Comment votre patron peut vous espionner avec Slack, Zoom et Teams
- Certains processeurs Ryzen brûlent. Voici ce que vous pouvez faire pour sauvegarder le vôtre
- Microsoft apporte ChatGPT à votre navigateur et vous pouvez le tester dès maintenant
- Voici comment vous pouvez protéger votre RTX 4090 de la fonte
- Comment utiliser le mode bureau sur le Steam Deck pour pouvoir l'utiliser comme un PC
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
