Depuis mardi, le Web fait face à une faille majeure qui aurait affecté près de la moitié des sites. Faut-il nécessairement changer de mot de passe ? Réponse

heartbleed

Une panne dans le logiciel OpenSSL, utilisé par plus de 50% des sites Web pour protéger ses mots de passe, ses numéros de carte bancaire et d’autres types de données “sensibles”, permettrait aux pirates de voler des informations sensibles sur les utilisateurs à l’insu des sites Web.

L’étendue des dégâts serait relativement limitée. Tout d’abord, parce que tous les sites utilisant OpenSSL n’ont pas été affectés par cette faille. Seulement 17% des sites utilisant le logiciel seraient touchés, ce qui représente à peu près 8,5% du Web, soit 500.000 sites Internet.

Ensuite, parce que depuis lors, un patch a été mis à disposition des sites en question, pour protéger les données des utilisateurs. En théorie donc, vos données ne sont plus exposées.

Cela signifierait donc que le laps de temps nécessaire aux pirates pour s’attaquer aux données personnelles des utilisateurs était plutôt limité. Quelques heures à peine après la découverte de la faille, le patch était déjà disponible. Certes, il n’est pas impossible que des pirates aient utilisé la faille au cours de ces deux dernières années, mais vu que la découverte n’a été faite que mardi, on peut heureusement dire que si des organisations / personnes mal intentionnées ont utilisé la faille, tout cela ne l’a été que dans une maigre mesure. De plus, aucune preuve ne permet d’affirmer, à l’heure actuelle, que des fonds ou des données personnelles ont été détournées par des hackers.

Du côté des sites Web, la panique générale a laissé sa place au calme. La majorité des grosses plates-formes du Web n’auraient pas été affectées par la faille. Microsoft, Apple, LinkedIn, Amazon, AOL, eBay, Groupon et Paypal, n’ont entre autres jamais utilisé le système OpenSSL.

Ce n’est pas le cas en revanche des services de Yahoo, Google et Facebook, qui assurent que les données de leurs utilisateurs ne sont pas en danger en précisant qu’il n’est pas nécessaire de changer leur mot de passe. Sur la toile, le ton est différent puisque des sites comme Mashable préconisent de changer votre mot de passe si vous utilisez l’un des services en question.

Par mesure de sécurité, Soundcloud a notamment demandé à ses utilisateurs de changer leur mot de passe. Cependant, Soundcloud précise qu’il s’agit d’une mesure visant uniquement à assurer la sécurité des comptes.

Le problème de la faille étant qu’il est impossible de savoir aussi bien pour l’utilisateur que pour les gestionnaires d’un service ou d’un site web, si des données ont été dérobées, il est fort probable que l’on n’en apprendra pas plus sur le danger réel que représentait Heartbleed. Si vous disposez d’informations sensibles, utilisez le même mot de passe sur un service de paiement comme Paypal, et sur un site potentiellement affecté par la faille, nous vous conseillons de changer le plus rapidement possible votre mot de passe. Dans le cas contraire, il n’y aurait à priori aucune raison de paniquer pour le moment, les géants du Web ayant pris les dispositions nécessaires pour protéger les données des utilisateurs.

On en parle sur le forum.