Depuis quelques jours, des informations alarmistes sont véhiculées par les médias et les réseaux sociaux au sujet de Heartbleed, cette faille informatique qui existe depuis deux ans dans une version du logiciel OpenSSL, celui qui est chargé de protéger les informations sensibles sur une série de sites sécurisés. A cause de cette faille, des pirates peuvent récupérer ces informations. Et ce qui est encore plus angoissant, c’est qu’il n’y a pas moyen de savoir si nos informations ont été volées. Un patch a été développé afin de "boucher" cette faille avant que celle-ci soit rendue publique. Cependant, plusieurs géants du net ont été touchés.
Que faut-il faire ? On peut bien sûr débrancher l’internet et vivre comme un ermite déconnecté. Mais si l’on n’est pas prêt à envisager une solution aussi radicale, il est fortement recommandé de changer certains mots de passe. Et peut-être en profiter pour choisir un mot de passe plus sûr.
Voici la liste des mots de passe à changer :
Affecté? |
Résolu? |
Changer de mot de passe? |
|
|---|---|---|---|
Dropbox |
Oui |
Oui |
Oui |
Tumblr |
Oui |
Oui |
Oui |
Oui |
Oui |
Oui |
|
Gmail |
Oui |
Oui |
Oui |
Yahoo et Yahoo Mail |
Oui |
Oui |
Oui |
Soundcloud |
Oui |
Oui |
Oui |
Incertain |
Oui |
Oui |
|
eBay |
Incertain |
Incertain |
Incertain |
Netflix |
Incertain |
Incertain |
Incertain |
Incertain |
Incertain |
Incertain |
|
Apple |
Incertain |
Incertain |
Incertain |
Non |
Non |
Non |
|
PayPal |
Non |
Non |
Non |
Microsoft |
Non |
Non |
Non |
Hotmail/Outlook |
Non |
Non |
Non |
Amazon |
Non |
Non |
Non |
Mais il ne faut pas se précipiter pour changer tous ses mots de passe en croyant bien faire. En effet, il faut attendre que le patch ait été implanté sur les serveurs des sites touchés. Dans la liste ci-dessus, les sites pour lesquels il est indiqué "résolu" ont déjà implanté le patch, et on peut donc changer de mot de passe. "Incertain" qualifie un site qui n'a pas donné d'informations.
Cette liste a été établie par Mashable, qui a mené l’enquête aussi auprès de sites qui concernent uniquement les usagers américains. En Belgique, les sites de la DH et de La Libre, qui appartiennent au groupe IPM, ont également été touchés, mais leur service informatique a assuré la mise en place du patch jeudi en début d'après-midi.
Il faut rappeler que la majorité des sites bancaires et de commerce ne sont pas touchés par Heartbleed. Et qu’il faut éviter les mots de passe trop simples. Olivier Bogaert, commissaire à la Computer Crime Unit (CCU) de la police judiciaire fédérale de Bruxelles, précise de son côté qu'il faut, idéalement, changer ses mots de passe tous les six mois à un an.
A.L.
