Heartbleed est une vulnérabilité critique dans l’implémentation de l’extension heartbeat d’OpenSSL qui a fait trop parler d'elle récemment. Des mises à jours de la bibliothèque ont été effectuées par les acteurs du web et les fabricants, afin de remédier à cette faille. Un petit retour sur les faits, sur les mises à jours et les recommandations à prendre en considération, voilà ce que je vous propose dans cet article !
Liste des sites touchés et recommandations !
Peu sont les sites et les softwares non concernés, Apple n'en fait partie, par exemple. Google, Facebook, Flipboard, .. et d'autres ont rassuré leurs clients, mais faut il se contenter des mises à jours ?
Flipboard a par exemple recommandé à ses utilisateurs le changement de leurs mots de passe.
Aucune certitude concernant l'exploitation de cette faille sur les différents sites affectés, c'est pourquoi le changement de mot de passe est recommandé (et non pas obligatoire) pour prévenir toutes les conséquences possibles.
Dans cette infographie, retrouvez la liste des sites populaires avec indication, à chaque fois, sur le fait qu'il soit affecté ou pas par cette faille.
Source |
Si vous êtes sur un site qui ne fait pas partie de cette liste, vous pouvez utiliser l'extension Chrome "Chromebleed" pour vérifier que le site n'est pas touché par Heartbleed. Après l'avoir ajoutée, faites un clic droit sur l'icone, choisissez "paramètres", ensuite cochez les deux cases pour activer les notifications. Chaque site visité sera scanné par cette extension, et vous aurez une notification pour vous indiquer si le site est clean ou pas.
Comment vérifier si votre appareil Android est touché par Heartbleed ?
D'après Google, seule la version 4.1.1 d'Android est touchée par Heartbleed.
Lookout a mis en ligne récemment un outil permettant de vérifier si la version d'Android de votre smartphone ou tablette est touchée par la faille Heartbleed.
Cette app gratuite est baptisée "Heartbleed Security Scanner", elle vous indique après l'avoir installé si la version d'Android installée sur votre appareil est touchée par la vulnérabilité, mais aussi si la fonctionnalité (l'extension heartbeat ) est activée (utilisée par votre appareil).
Ainsi, vous aurez comme résultat de scan, un des cas suivants :
C'est le 3ème cas qu'il faut craindre : vous devez mettre à jours votre système d'exploitation, ou s'il n y a pas moyen de le faire d'attendre que votre fournisseur (ou fabriquant) effectue les mises à jours nécessaires.
L'app de Lookout ne scanne que votre version d'Android, et non pas les apps installées sur votre appareil. Pour scanner vos applications, vous pouvez utiliser Bluebox Heartbleed Scanner et mettre à jours les apps qui posent problème (ou les désinstaller si aucune mise à jour n'est proposée et que vous prenez la sécurité de votre appareil au sérieux) :
No Response to "Retour sur le bug Heartbleed : que devez-vous faire maintenant ?"
Enregistrer un commentaire