Heartbleed : des mots de passe à changer sur certains sites
Identifiants et numéros de carte bancaire, la faille Heartbleed semble avoir fait des ravages. Il est recommandé aux internautes de modifier leurs mots de passe pour de nombreux services en ligne (lire : Heartbleed : attention à cette méchante faille OpenSSL).
C'est l'une des plus grandes failles de chiffrement de l'histoire et les données de la plupart des grands sites internet sont menacées. Google, Facebook, Tumblr, Yahoo... La liste des plateformes affectées par Heartbleed est longue et, plus grave encore, des données utilisateurs ont pu être exposées à des malandrins. En bref, ce sont des informations personnelles, telles que des mots de passe et numéros de carte de crédit, qui ont pu être utilisées au cours des deux dernières années.
Clairement, il n'est pas facile de déterminer si oui ou non un service a pu être touché. Mais dans le doute, il est conseillé aux utilisateurs de modifier leurs mots de passe mais une fois que le service a appliqué sa mise à jour, c'est contre-productif de le faire avant. Certains sites ont tenu à communiquer sur le cas Heartbleed pour rassurer les internautes. Des correctifs de sécurité ont été mis à jour sur de nombreux serveurs, mais il vaut mieux rester prudent.
Mashable propose une liste des services internet touchés et accompagne chaque plateforme d'informations utiles pour comprendre les risques.
Les grandes compagnies :
Google : les serveurs de Mountain View ont été affectés, puis mis à jour. Il est toutefois conseillé de revoir son mot de passe bien que la firme explique le contraire. Sans tomber dans la paranoïa, mieux vaut être à l'abri pour les services de recherche, Gmail, YouTube, Wallet, Play...
Yahoo : Avec les services Yahoo Mail, Yahoo Finance, Yahoo Sport, Yahoo Food... Flickr et Tumblr, il est recommandé de changer de mot de passe. Des correctifs ont été appliqués et d'autres sont à venir.
Amazon : la plateforme de commerce a elle aussi été touchée par Heartbleed. Selon la compagnie, les principaux services ne sont pas concernés, mais Elastic Load Balancing, Amazon EC2, Amazon Linux AMI, Red Hat Enterprise Linux, Ubuntu, AWS OpsWorks, AWS Elastic Beanstalk et Amazon CloudFront ont eu droit à des correctifs.
Les réseaux sociaux :
Facebook : le site dispose d'un patch, mais il est recommandé de modifier son mot de passe. « Nous avons sécurisé l'OpenSSL de Facebook avant l'annonce publique de cette faille », explique le site, « mais nous encourageons les utilisateurs à utiliser un mot de passe unique. »
Tumblr : la plateforme de microblogging a été touchée et mise à jour ensuite. Pour plus de prudence, il est recommandé de modifier ses identifiants : « nous n'avons pas de preuve concernant cette faille, comme la plupart des réseaux, nos équipes ont immédiatement corrigé la chose », déclare Tumblr.
D'autres services :
Dropbox : la compagnie a expliqué avoir sécurisé ses services dans un tweet. Dans le doute, il est tout de même préférable de modifier son mot de passe.
LastPass : l'OpenSSL a lui également été revu. La société explique avoir plusieurs niveaux de chiffrements qui protègent ses utilisateurs. À vérifier, puisque les données exposées par Heartbleed ont pu l'être pendant deux ans.
OKCupid : le site reconnait avoir été exposé et se dit stupéfait qu'une faille de ce genre ait pu exister si longtemps. Pour éviter tous risques, les utilisateurs se doivent de modifier leurs mots de passe.
SoundCloud : « nous allons déconnecter tous les comptes… et lorsque les utilisateurs s'identifieront à nouveau, les patchs que nous avons mis en place seront actifs », déclare la plateforme de streaming.
Wunderlist : comme beaucoup d'autres, il est fortement recommandé de modifier son mot de passe pour ne pas être inquiété. La compagnie reconnait le problème et explique sur son site que les utilisateurs n'auront qu'à se reconnecter à son service pour faire un reset.
Evernote : le service explique ce matin qu'il n'utilise pas OpenSSL, nul besoin de changer son mot de passe. Son service de tickets pour le support technique en revanche s'en servait, il a été mis à jour et l'entreprise fait un audit de la situation.
Ce qui est bien c'est que j'ai changé de CB hier justement \o/
Et les sites de banques ?
bien vu, on a pas trop d'info de ce coté la ;(
Il y a des sites qui proposent de tester si un site est exposé ou non. J'ai essayé avec ma banque et il n'y avait pas de soucis.
quid d'Apple ?
iTunes Store/AppStore/iCloud ???
faut-il changer les mots de passe ?
@init__zero
Non, apple n'est pas toucher par heartbleed
Macg, mettez une bonne info. Là c'est important de dire : changée vos mots de passe APRÈS que la faille est comblée sur le site ou le service.
Sinon ça ne sert à rien. Le nouveau mot de passe va aussi y passer.
Le plus dur c'est d'attendre de savoir quel site / service est touché.
Et quand ils auront réglé le problème.
Il faut qu'ils bouchent la faille. Mais aussi qu'ils redemandent des certificats.
Ça risque de prendre du s'il faut générer 36000 certificats en 2 jours.
(Je suis pas expert. C'est juste ce que j'ai lu chez 1password)
Il faut regénérer sa clé privée (quelques secondes) puis regen un certificat auprès du prestataire concerné (quelques minutes).
Au final, en un quart d'heure, le certificat est changé.
Enfin, en général c'est des certificat wildcard qui sont utilisés, y'en a donc pas 36 000. Juste un par domaine.
Ca serait bien que MacG explique la faille et son principe avant de partir dans des délires psycho-délirant.
Ne sont touché QUE les sites en https utilisant une version OpenSSL 1..0.1->1.0.1f (plus vieux, pas de soucis, plus recent, pas de soucis).
La faille (très grave, on ne revient pas la dessus) permet, en gros, à n'importe qui ayant accés en WEB de lire la mémoire du serveur en clair.
Ca implique la capacité, si on exploite la faille au moment ou vous vous connectez avec votre login/password de lire ceux-ci directement dans la mémoire du serveur).
Les chances que vous vous soyez loggé pile au moment ou un hacker exploite la faille est déjà réduit, mais pas impossible.
Dans le cas de google par exemple, on ne tombe pas directement sur le serveur "gmail" (pour ne citer que lui) mais sur une succession de proxy. Le hacker n'aura accés qu'au premier. Une fois la connexion établit, vous ne faite plus transiter votre mot de passe. C'est fini.
Toujours dans le cas de Google, (mais c'est valable pour beaucoup de grand groupe), on commence par traverser des routers avant d'arriver sur le serveur. Ce qui permet de savoir (logs) si un type de paquets est passé, ou pas aprés coup (logs, vous le dites vous meme, google logs tout pour revendre votre vie).
Ils savent donc si il y a eut une attaque, ou pas.
Il y a ensuite tous les services avec double authen (token/sms) ou une demande de confirmation sur une email secondaire qui rendent la possession d'un login/password quasi inutile (qui va de pair avec la geoloc).
Exemple: Je joue chez moi aux jeux Blizzard, si jamais je me connecte depuis un autre pays mon compte est locké par defaut. Seul moyen de délocker: renvoyer le code que je reçois pas SMS. Chaud a hacker.
Bref risque il y a , mais lisez un peu avant de psychoter. Pour la majorité des communs que nous sommes, pour peut que nous n'ayont pas tente de login sur des sites foireux, nous ne risquont rien du tout).
"Les chances que vous vous soyez loggé pile au moment ou un hacker exploite la faille est déjà réduit, mais pas impossible."
Ca dépend du traffic du site. En prennant mail.yahoo.com en exemple et en lancant X instance de l'exploit en même temps t'avais X fragments de la mémoire différents. Une partie contenait les logins + mdp + cookies de personnes s'étant co.
Un serveur avec un bonne co (comme ceux aux Panama par exemple :) ) et en automatisant le bousin, yen a qui ont propablement fait une bonne grosse récolte d'info de connection pendant des heures et des heures. Yahoo ayant été très lent à corriger le soucis...
edit: l'attaque est invisible pour la société/le serveur victime.
Synology propose également une mise à jour du DSM 5.0, une "Update 2" qui corrige la faille OpenSSL.
@Trollolol
Nuance sur un point, l'attaque était invisible au moment ou elle avait lieu car personne ne chercherà la detecter, vu qu'elle était inconnu. Elle est visible après coup pour tout ceux qui ont un gros traffic logger (Google, Facebook, bref, tout ceux dont vous n'arretez pas de dire qu'il loggent tout. Pour une fois ça aura été utile).
Quels mots de passes changer et quand ? ... bonne question ... si avec 3-4 sites ça va, sur un grand nombre, pas simple.
Je trouve les banques bien silencieuses, elles pourraient se fendre d'un petit message sur les sites en ligne quand vous y êtes inscrits, indiquant ne pas avoir été touchées si c'est le cas.
Dashlane (coffre-fort style 1passwd) a envoyé un message disant qu'il n'avait pas été touché par la faille heartbleed.
Concernant les banques, je bosse pour l'une d'entre elles, elles n'utilisent pas ce type de cryptage mais des solutions propriétaires (trèèès cher !).
Donc pas d'inquiétude (du moins avec "heartbleed"...)