Mathieu Agopian : Heartbleed, conséquences pour les utilisateurs

Le problème

Hier, le 8 avril 2014, une énorme faille de sécurité a été divulguée, nom de code Heartbleed (plus d'infos sur http://heartbleed.com). Elle impacte OpenSSL, qui est la technologie qui permet de sécuriser les échanges entre notre navigateur et les sites qui utilisent des adresses qui commencent par "https://" (notez bien le "s" final). On estime qu'elle impacte environ 2/3 des sites sur internet.

Ces sites qui utilisent SSL apparaissent avec un petit cadenas à gauche de leur adresse, dans la barre d'adresse de votre navigateur, indiquant que la connexion est sécurisée. C'est par exemple le cas des sites de banque, de mail, mais aussi de la plupart des pages de connexion avec mot de passe, et de paiement par carte bancaire.

Cette sécurité permet de chiffrer toutes les communications entre le navigateur et le site, empêchant quiconque de pouvoir espionner (par exemple en "sniffant" le wifi sur lequel vous êtes connectés) et récupérer vos mots de passe.

Seulement voilà, hier on a appris que cette sécurité comportait un bug logiciel qui permet à n'importe qui de récupérer les mots de passe des utilisateurs et plein d'autres informations sur les sites qui utilisent cette sécurité.

Petite note pour les utilisateurs de Google Chrome : je vous recommande d'utiliser Firefox. Si vous souhaitez continuer à utiliser Chrome, veillez à activer l'option vérifier la révocation du certificat serveur. Malheureusement, Chrome a choisi de ne pas activer cette vérification par défaut pour permettre aux pages de se charger plus vite... au dépends de votre sécurité donc.

Ce qu'il faut faire

La plupart des sites ont dû mettre en place un correctif à présent, en tout cas je l'espère. Pour le vérifier, avant de vous connecter sur un site (n'importe quel site !!!), vérifiez d'abord qu'il n'est pas (ou plus) vulnérable en entrant son adresse sur le site suivant : http://filippo.io/Heartbleed/.

Dans tous les cas, je vous recommande de vous déconnecter et reconnecter sur tous les sites sur lesquels vous êtes déjà connectés, pour être sûr d'avoir la version la plus à jour de leur connexion SSL, puis de changer vos mots de passe (oui, tous). Ça va être long et pénible, mais c'est nécessaire. Faites bien la liste des sites sur lesquels vous vous êtes connectés hier (le 8 avril 2014), et surveillez bien vos comptes sur ces sites, que vous ne voyez rien de bizarre qui pourrait être causé par un pirate qui aurait récupéré vos accès (ajout de bénéficiaires de virement sur votre site bancaire, de nouvelles adresses d'expédition sur les sites de vente en ligne...).

Pour rappel, deux choses qui vous simplifient la vie concernant les mots de passe :

  1. sur Firefox vous pouvez sauvegarder vos mots de passe dans le navigateur, et il faut bien penser à activer le mot de passe général : un mot de passe qui permet de chiffrer tous les mots de passe que vous avez enregistrés, pour que quelqu'un qui récupère votre ordinateur (suite à un vol, parce qu'il est en réparation, en prêt...) ne puisse pas voir tous vos mots de passe enregistrés
  2. sur Firefox il est possible de sauvegarder/synchroniser tous ses mots de passe enregistrés, ses extensions installées, ses onglets ouverts et ses favoris sur un serveur entièrement chiffré et sécurisé de Mozilla en utilisant la fonctionnalité firefox sync, que je vous recommande. C'est très pratique quand on a plusieurs ordinateurs/téléphones/tablettes avec firefox. Faites bien attention de sauvegarder la "clé de récupération Sync" pour pouvoir vous reconnecter à votre compte Sync si jamais vous changez d'ordinateur (c'est un fichier qu'il faut sauvegarder et garder en lieu sûr).
  3. il existe de multiples logiciels de gestion de mots de passe, comme KeePassX, 1password ou revelation (pour linux). Ils permettent d'enregistrer les mots de passe pour tous ses sites, et les sauvegarder dans un fichier chiffré. Il faut bien sauvegarder ce fichier (comme pour la clé de récupération Sync). C'est très pratique pour retenir tous ses mots de passe, en sachant que vous êtes sensé(e)s avoir un mot de passe sécurisé et différent sur chacun des sites que vous fréquentez. Autrement, si un de ces sites se fait pirater, le pirate peut réutiliser votre mot de passe sur tous les autres sites que vous utilisez... Et les sites qui se font pirater chaque année sont légion, et il existe des bases de données publiques de tous les comptes et mots de passe déjà piratés/connus.

Pour terminer, sur les sites qui le proposent, activez l'authentification en deux étapes, comme par exemple sur gmail. C'est une vérification en deux temps lorsque vous vous connectez ou que vous voulez faire une action sensible sur un site. Dans un premier temps vous entrez votre mot de passe (qui aurait pu être piraté), et dans un deuxième temps, vous fournissez un code qui vous a été donné lors de votre connexion par un autre moyen. Par exemple dans le cas de gmail, vous installez une application "google authenticator" sur votre téléphone, qui génère une nouvelle séquence de chiffres chaque minute. Le pirate doit donc avoir votre mot de passe ET votre téléphone si il veut se connecter sur votre compte.

Plusieurs sites bancaires permettent aussi cette authentification en deux étapes.

Allez, c'est maintenant l'heure de changer tous vos mots de passe, courage !

All posts

  1. DjangoCon Europe
  2. Objets ou fonctions
  3. Quitter Gmail : gestion des contacts
  4. Quitter Gmail : migrer ses mails
  5. Quitter Gmail : créer son compte mail
  6. Quitter Gmail : réserver son nom de domaine
  7. Quitter Gmail
  8. Au revoir Novapost, bonjour FruitLab
  9. Retour sur Pytong 2013
  10. Retour sur Sud Web 2013
  11. Django1.5 : passer au Configurable User Model
  12. Le sport
  13. Création d'un FabLab sur Valence
  14. Lancement de FaitMain.org
  15. Djangocon 2012 Tolosa Edition
  16. Taxonomie des entreprises
  17. Plan de carrière d'un développeur
  18. Automatiser son flake8 avec vim et syntastic
  19. Vim + Screen : le pair-prog des champions !
  20. Le miroir PyPI du pauvre
  21. Vim, Restructured Text et espaces insécables
  22. VIM et la correction orthographique
  23. Djangocong 2012 !
  24. Point-virgule
  25. La bidouille django du jour: appeller un templatetag depuis un autre templatetag
  26. Contribuer à Django, premiers pas (patcher la doc)
  27. Sud Web, c'est bon pour ton web
  28. Contribuer à Django, premiers pas (les outils, l'environnement)
  29. Contribuer à Django, premiers pas (revue de tickets)
  30. Djangocong 2011 : une cuvée d'exception
  31. django et le handler500: retourner une erreur 503
  32. La technique pomodoro : retour après plus d'un mois d'utilisation
  33. La technique pomodoro : retour après deux semaines d'utilisation
  34. django: redimensionner une image à la volée en préservant son ratio
  35. Django forms, HTML5 et fieldsets
  36. Double encodage utf8 : afficher correctement avec python et django
  37. La vie a la couleur qu'on veut bien lui donner
  38. lancer gunicorn avec supervisord
  39. PyCon.fr 2010 : retour sur une conférence organisée par l'AFPY
  40. djangocong : rencontre Django à Marseille
  41. MySQL, mysqldump et PHP : convertir de latin1 vers utf8
  42. Django : Envoyer des emails HTML avec images inline (intégrées)
  43. lancer gunicorn avec runit
  44. gunicorn: un server wsgi ultra simple à utiliser et configurer
  45. Installer PIL (Python Imaging Library) facilement avec pip
  46. Obfuscation de l'email alternative et accessible
  47. Linux: savoir si le processeur est 32bits ou 64bits
  48. PyCON.fr, excellent!
  49. PyCon.fr: venez m'y voir!
  50. Le contrôle de versions de sources: pourquoi?
  51. Django, sqlite et mod_wsgi, attention au piège!
  52. Checklist: différences entre MySQL et les modèles Django
  53. MySQL et les modèles Django
  54. Apprendre à faire, et faire
  55. Django FileField et ImageField, upload_to et shell python
  56. Django svn et mod_wsgi, attention au piège!
  57. 30 ans, et toutes mes dents