Heartbleed: Que faire pour se protéger de cette faille de sécurité géante?

HIGH-TECH Un inquiétant bug dans un logiciel de cryptage utilisé par près de deux-tiers des sites Internet a été découvert lundi. Il a pu permettre à des pirates de récupérer des mots de passe ou encore des données bancaires...

Anaëlle Grondin

— 

Le logo officiel du bug «heartbleed», qui affecte le protocole OpenSSL.
Le logo officiel du bug «heartbleed», qui affecte le protocole OpenSSL. — DR

Depuis que l’importante faille de sécurité Heartbleed a été découverte, le Web saigne des données confidentielles que l’on pensait protégées. Et certains internautes tremblent. Le bug inquiétant est venu fragiliser certaines versions d’OpenSSL, un logiciel libre très utilisé pour les connexions sécurisées sur Internet. Un protocole utilisé par environ deux sites Internet sur trois pour crypter le trafic entre le PC de l’utilisateur et un serveur. Potentiellement, certaines de vos données comme vos mots de passe ou coordonnées bancaires ont pu être compromises. Un patch a été publié pour boucher cette faille en début de semaine.

» Pourquoi Heartbleed est un bug «catastrophique» 

Mais en attendant que tous les administrateurs Web mettent leurs systèmes à jour, il vaut mieux rester prudent (sans toutefois déserter Internet pendant des jours). Quelques clés pour se protéger:

Se renseigner sur les sites touchés par Heartbleed

Facebook, Tumblr, Gmail, Twitter… Les sites sur lesquels vous surfez tous les jours sont-ils concernés par ce bug? Pour le savoir, une page dédiée permet de tester la vulnérabilité d’un site en entrant son URL. Une extension pour le navigateur Chrome permet d’automatiser le processus pour les sites sur lesquels vous surfez.

Le site spécialisé Mashable a en outre publié une liste des sites les plus connus pour vous permettre de savoir lesquels ont été affectés par la faille et s’ils l’ont bouchée avec le patch en cas de vulnérabilité. A priori, les géants du Web ont déjà réagi pour sécuriser leurs serveurs depuis la découverte de la faille.

Si un site est vulnérable

Attendez que le problème soit corrigé et le patch installé par son administrateur. Surtout, n’effectuez pas de transaction bancaire, évitez les achats en ligne si vous n’êtes pas sûr que le site ait réagi et installé le patch, et n’entrez aucun mot de passe. Il ne sert à rien, à ce stade, de réinitialiser son mot de passe: toute modification serait inutile car la faille de sécurité n’étant pas comblée, le nouveau mot de passe restera vulnérable.

Si un site a été touché et a corrigé la faille

Lorsque le bug a été réparé sur un site, vous êtes encouragé à réinitialiser votre mot de passe. Facebook, qui dit avoir corrigé la faille avant qu’elle ne soit rendue publique, le préconise sur Mashable. Le site conseille de faire la même chose pour Google et ses principaux services (Gmail, YouTube, Google Play) et aussi pour Yahoo (et son service Tumblr), parmi les premiers épinglés par les experts en sécurité informatique. Pensez à des mots de passe robustes et difficiles à hacker. Et aussi à en utiliser un différent sur chaque site auxquels vous êtes inscrit.

Surveillez vos courriels

Les sites concernés devraient vous contacter dans les prochains jours pour vous encourager à changer votre mot de passe avec un message similaire à celui publié par Tumblr cette semaine: «C’est un bon jour pour être malade et prendre le temps de changer vos mots de passe partout -en particulier sur vos services hautement sécurisés, comme les emails, le stockage de fichiers et les comptes bancaires, qui ont pu être compromis par ce bug.»

Mais attention, soyez vigilants quant aux expéditeurs de ces e-mails. Certaines personnes malintentionnées pourraient profiter de cette faille inquiétante pour envoyer des e-mails de «phishing», des messages dans lesquels elles se font passer pour des entreprises connues et qui vous renvoient vers un site pirate (une copie conforme du vrai) afin d’intercepter vos mots de passe et données bancaires. Méfiez-vous également des internautes ou entreprises proposant des programmes inutiles payants pour vous protéger de Heartbleed.