Heartbleed - que pouvez-vous faire pour rester en sécurité?

La vulnérabilité heartbleed SSL fait les gros titres dans le monde entier - et dans la presse d`informations inexactes et en ligne est source de confusion. Comment pouvez-vous rester en sécurité et s`ensuivre vos données personnelles ne sont pas une fuite?

Qu`est-ce que heartbleed? Eh bien, ce n`est pas un virus

Vous avez probablement entendu heartbleed décrit comme un virus. Ce n`est pas le cas: en fait, il est une faiblesse, une vulnérabilité dans les serveurs OpenSSL en cours d`exécution. Ceci est la mise en œuvre open source de SSL et TLS, les protocoles utilisés pour des connexions sécurisées - ceux qui commencent https: // plutôt que l`habituel http: //.

Muo-heartbleed-help-https

Cette vulnérabilité - plus communément appelé un bug - essentiellement crée un trou à travers lequel les pirates peuvent contourner le chiffrement. Confirmé le 7 Avrile 2014, il se produit dans toutes les versions de OpenSSL sauf 1.0.1g. La menace est limitée aux sites OpenSSL en cours d`exécution - autres bibliothèques SSL et TLS sont disponibles, mais OpenSSL est largement utilisée sur les serveurs sur le web. Un correctif pour le problème existe, mais cela peut ne pas avoir été appliqué sur les sites Web que vous visitez régulièrement pour des activités sécurisées. Ceux-ci pourraient être les achats en ligne, le jeu et d`autres sites Web thématiques adultes ou même les réseaux sociaux.

En conséquence, toutes sortes de renseignements personnels et financiers pourrait être à risque.

Pour avoir une idée de la taille d`un heartbleed deal est (et pourquoi il est soi-disant), Ryan a récemment mis ce bug transmembranaires Internet dans le contexte. Il faut souligner que heartbleed est une vulnérabilité sur Internet et affecte donc les utilisateurs de tous les systèmes d`exploitation, de bureau et mobiles.Bug massive dans OpenSSL Puts Une grande partie de l`Internet à risqueBug massive dans OpenSSL Puts Une grande partie de l`Internet à risqueSi vous êtes une de ces personnes qui ont toujours cru que la cryptographie open source est le moyen le plus sûr de communiquer en ligne, vous êtes un peu une surprise.Lire la suite

Ainsi, il est une grosse affaire - mais que pouvez-vous faire à ce sujet?

Video: Heartbleed : comment se protéger?

Ignorer le battage médiatique & Do not Panic

Eh bien, il y a une chose que vous ne devriez pas faire: panique. Beaucoup a été écrit sur Internet et dans les médias imprimés dans les derniers jours et beaucoup de battage médiatique, il est, malheur porno qui mettrait les effets de la célèbre guerre de la radio Worlds émission à la honte d`Orson Welles.

Muo-heartbleed-help-dontpanic

Une grande partie de ce que vous avez déjà vu auront été bricolé à partir de communiqués de presse et d`autres rapports de journalistes qui ne connaissent pas la terminologie et le manque de compréhension claire sur les risques.

Par exemple, vous savez peut-être que vous devriez changer vos mots de passe immédiatement (pas tout à fait vrai, il faut ajouter - voir ci-dessous). Mais saviez-vous le risque de phishing?

Le risque Phishing

Responsable des services Web, les banques et les réseaux sociaux qui ont été touchés par heartbleed vous déposeront un e-mail pour vous faire savoir qu`ils ont réparé la vulnérabilité et vous recommandons de changer votre mot de passe.

Naturellement, vous devriez le faire - mais sachez que cette situation présente une occasion idéale pour les hameçonneurs pour commencer à envoyer des e-mails faux, avec des liens intégrés à la page « mot de passe » - en réalité, un site Web conçu pour récolter vos détails.

Muo-heartbleed-help-pinterest

Video: Heartbleed Bug in OpenSSL Proves You Shouldn't Trust the Security of the Internet

Aucun des services que vous utilisez devrait vous recommandons de cliquer sur un lien de mot de passe dans un courriel envoyé des courriels non sollicités. Malheureusement, IFTTT a fait, comme l`a fait Pinterest (ci-dessus). Ceci est une mauvaise pratique et donne l`impression qu`un tel lien est acceptable et doit être cliqué.

À moins que vous ne l`e-mail, un tel lien ne doit pas être cliqué.

e-mails de réinitialisation de mot de passe heartbleed ne doivent pas inclure des liens de connexion. Si elles le font, les supprimer, puis visitez le site Web en tapant l`adresse dans votre navigateur (ou en le sélectionnant de l`histoire ou favoris en fonction de la façon dont vous roulez avec ces choses). A partir de là, réinitialiser votre mot de passe ...

... mais seulement si vous avez réellement besoin à ce stade.

Malheureusement, la nécessité conduit PR-pour les entreprises à regarder comme ils sont en train de faire quelque chose au sujet des menaces telles que heartbleed peut se révéler être tout aussi dommageable que la menace elle-même.

Donc, si vous changez vos mots de passe?

L`une des principales pièces de conseils heartbleed en circulation est que vous devez immédiatement changer vos mots de passe.

Tous.

Ceci, malheureusement, est un exemple de la désinformation dont j`ai parlé dans l`introduction. Dites que vous utilisez le même mot de passe pour plusieurs sites. Tout d`abord, cela est une mauvaise pratique et vous devriez reconsidérer le faire à l`avenir (sans parler créer des mots de passe plus sûrs).Les mots de passe sécurisés: Générer un mot de passe différent pour chaque site WebLes mots de passe sécurisés: Générer un mot de passe différent pour chaque site WebLire la suite

Muo-heartbleed-help-mot de passe

En second lieu, si vous changez sans discernement tous vos mots de passe, les chances sont que vous allez le faire sur un site Web qui ne fonctionne pas sur un serveur patché - celui sur lequel heartbleed est encore une vulnérabilité.

Par inadvertance, vous avez potentiellement partagé votre ancien mot de passe et votre nouveau mot de passe avec ceux qui sont en mesure d`exploiter la vulnérabilité de leurs opérations de fraude et anti-spam identité.

En tant que tel, vous ne devez modifier votre mot de passe sur un site par site quand on sait qu`ils ont été patché - à savoir, le correctif a été appliqué et la vulnérabilité fermée.

Consultez les sites Web qui ont patché

Commencez par vérifier quels sites sont exempts de la vulnérabilité heartbleed.

Il y a deux façons de faire ça. Tout d`abord, la tête à Mashable où une liste à jour des sites grands noms touchés par heartbleed se trouve, ainsi que des conseils pour savoir si vous devez changer votre mot de passe ou non.

Pour les plus petits sites, cet excellent outil de recherche vous indiquera instantanément si le site a été ou non patché.

Une alternative est l`extension Vérificateur Chromebleed pour Google Chrome.

Si les sites Web que vous utilisez ont été touchés et ont pas encore patché la vulnérabilité heartbleed, éviter de vous connecter jusqu`à ce que la situation soit résolue.

Conclusion: Il est un jeu d`attente

Faire face à la tempête heartbleed ne devrait pas être un problème pour la plupart. Tenez-vous au cours que nous avons conseillé ci-dessus, et ne changent pas de mots de passe jusqu`à ce que vous êtes invité à le faire par les sites Web et des services correspondants.

Muo-heartbleed-help-coeur

Vous pouvez également utiliser de nouveaux outils pour vérifier si le site Web que vous envisagez de visiter (ou même celui que vous avez) a été affectée, et si une solution a été appliquée.

Plus important encore, rester en sécurité et être patient. Le potentiel de heartbleed pour causer des problèmes massifs est toujours là - éviter les sites Web qui exigent rafistoler jusqu`à ce que vous savez qu`ils sont maintenant en sécurité.

Articles connexes