Identifiants et numéros de carte bancaire, la faille Heartbleed semble avoir fait des ravages. Il est recommandé aux internautes de modifier leurs mots de passe pour de nombreux services en ligne (lire : Heartbleed : attention à cette méchante faille OpenSSL).
C'est l'une des plus grandes failles de chiffrement de l'histoire et les données de la plupart des grands sites internet sont menacées. Google, Facebook, Tumblr, Yahoo... La liste des plateformes affectées par Heartbleed est longue et, plus grave encore, des données utilisateurs ont pu être exposées à des malandrins. En bref, ce sont des informations personnelles, telles que des mots de passe et numéros de carte de crédit, qui ont pu être utilisées au cours des deux dernières années.
Clairement, il n'est pas facile de déterminer si oui ou non un service a pu être touché. Mais dans le doute, il est conseillé aux utilisateurs de modifier leurs mots de passe mais une fois que le service a appliqué sa mise à jour, c'est contre-productif de le faire avant. Certains sites ont tenu à communiquer sur le cas Heartbleed pour rassurer les internautes. Des correctifs de sécurité ont été mis à jour sur de nombreux serveurs, mais il vaut mieux rester prudent.
Mashable propose une liste des services internet touchés et accompagne chaque plateforme d'informations utiles pour comprendre les risques.
Les grandes compagnies :
Google : les serveurs de Mountain View ont été affectés, puis mis à jour. Il est toutefois conseillé de revoir son mot de passe bien que la firme explique le contraire. Sans tomber dans la paranoïa, mieux vaut être à l'abri pour les services de recherche, Gmail, YouTube, Wallet, Play...
Yahoo : Avec les services Yahoo Mail, Yahoo Finance, Yahoo Sport, Yahoo Food... Flickr et Tumblr, il est recommandé de changer de mot de passe. Des correctifs ont été appliqués et d'autres sont à venir.
Amazon : la plateforme de commerce a elle aussi été touchée par Heartbleed. Selon la compagnie, les principaux services ne sont pas concernés, mais Elastic Load Balancing, Amazon EC2, Amazon Linux AMI, Red Hat Enterprise Linux, Ubuntu, AWS OpsWorks, AWS Elastic Beanstalk et Amazon CloudFront ont eu droit à des correctifs.
Les réseaux sociaux :
Facebook : le site dispose d'un patch, mais il est recommandé de modifier son mot de passe. « Nous avons sécurisé l'OpenSSL de Facebook avant l'annonce publique de cette faille », explique le site, « mais nous encourageons les utilisateurs à utiliser un mot de passe unique. »
Tumblr : la plateforme de microblogging a été touchée et mise à jour ensuite. Pour plus de prudence, il est recommandé de modifier ses identifiants : « nous n'avons pas de preuve concernant cette faille, comme la plupart des réseaux, nos équipes ont immédiatement corrigé la chose », déclare Tumblr.
D'autres services :
Dropbox : la compagnie a expliqué avoir sécurisé ses services dans un tweet. Dans le doute, il est tout de même préférable de modifier son mot de passe.
LastPass : l'OpenSSL a lui également été revu. La société explique avoir plusieurs niveaux de chiffrements qui protègent ses utilisateurs. À vérifier, puisque les données exposées par Heartbleed ont pu l'être pendant deux ans.
OKCupid : le site reconnait avoir été exposé et se dit stupéfait qu'une faille de ce genre ait pu exister si longtemps. Pour éviter tous risques, les utilisateurs se doivent de modifier leurs mots de passe.
SoundCloud : « nous allons déconnecter tous les comptes… et lorsque les utilisateurs s'identifieront à nouveau, les patchs que nous avons mis en place seront actifs », déclare la plateforme de streaming.
Wunderlist : comme beaucoup d'autres, il est fortement recommandé de modifier son mot de passe pour ne pas être inquiété. La compagnie reconnait le problème et explique sur son site que les utilisateurs n'auront qu'à se reconnecter à son service pour faire un reset.
Evernote : le service explique ce matin qu'il n'utilise pas OpenSSL, nul besoin de changer son mot de passe. Son service de tickets pour le support technique en revanche s'en servait, il a été mis à jour et l'entreprise fait un audit de la situation.