Actualités
Faille de sécurité Heartbleed : que craindre, comment réagir pour les utilisateurs d’iPhone et de produits Apple
Internet mais également les utilisateurs sont secoués par une découverte de
taille : une faille importante baptisée Heartbleed. Sans
rentrer dans les détails, celle-ci touche le protocole OpenSSL utilisé
lorsque l’on se connecte de manière sécurisée (affichage d’un
cadenas dans le navigateur) à des sites Internet (banque, comptes divers
e-commerce, stockage, etc …). Cette faille a potentiellement permis à des
personnes mal intentionnées de voler des informations normalement protégées
comme … les mots de passe, pierre angulaire de la protection des données
personnelles.
Si cette faille fait tant parler, c’est qu’elle pourrait affecter 2/3 des
sites internet utilisant l’authentification. Un expert
indiquait récemment que sur une échelle de gravité de 1 à 10, elle était à
… 11 !
Après quelques jours durant lesquels les grands de l’Internet ont vérifié
leurs serveurs, corrigés ceux concernés et fait un bilan, c’est au tour d’Apple
de s’exprimer et les nouvelles sont rassurantes. Mais sur nos machines, nous
n’utilisons pas que des produits 100 % Apple …
Voici l’état des lieux et la conduite à tenir pour minimiser les risques
liées à Heartbleed :
Tout d’abord, déclaration officielle d’Apple qui va rassurer les
utilisateurs d’iOS et d’OS X : les deux systèmes n’utilisent pas le
protocole victime de la faille, ils ne sont pas
vulnérables.
En ce qui concerne les services Internet proposés par Apple (iCloud,
iMessage , etc …) la société indique que les "services clés" ne sont
pas touchés ("key web-based services were not affected") sans les
lister en détail mais en appelant pas à changer les mots de passe, signe que
tout va bien.
Mais si iOS, OS X et les serveurs d’Apple ne sont pas touchés, on ne vit pas
dans un monde fermé et certains sites ou service que l’on visite ou utilise
depuis nos machines peuvent eux être vulnérables. Que faire ?
La seule solution pour le moment est d’attendre que la faille soit
corrigée site après site puis de modifier son mot de passe dans la
foulée.
Afin de recenser les sites affectés (et corrrigés) ou non, lesite
Mashable a entamé une longue
liste que vous pouvez retrouver ici.
Parmi les services plus populaires touchés, qui ont corrigé la faille et
donc pour lesquels il faut changer votre mot de passe, on trouve
notamment :
- Dropbox
- Yahoo
- Gmail
- Minecraft
- Tumblr
- Amazon Web Services
- IFTTT
Et bien entendu, recommandation habituelle mais tellement importante :
n’utilisez jamais le même mot de passe sur deux service différents ! Si
jamais l’un d’eux est récupéré, il ouvre la porte à tout le reste …
Pour cela, il faut un bon gestionnaire de mots de passe.
Très clairement, sur iOS comme sur Mac (et PC), la meilleure solution certes
couteuse mais tellement pratique et efficace est pour nous (mais pas seulement)
1Password. On en a déjà parlé de nombreuses fois dans nos
colonnes : l’application stocke les mots de passe, les transfère
automatiquement entre Mac, PC, iPhone, iPad (et même Android) et surtout permet
de les utiliser directement sur son navigateur d’ordinateur ou dans le
navigateur intégré à l’appli, sans avoir à les saisir. Un seul mot de
passe à retenir au final.
L’éditeur a bien vu l’opportunité et vient du coup de proposer une promotion
sur l’appli iPhone / iPad et sur le client Mac qui sont proposés à – 50 %
actuellement :
Bon courage !