Après un premier article décrivant la faille HeartBleed et ses conséquences catastrophiques, nous évoquons les actions à mener pour s'en protéger.
Cet article fait suite à « Sécurité : la méga-menace HeartBleed décryptée (part 1) ».
Que faire pour se protéger ?
Pour les internautes et consommateurs, il est fortement recommandé de changer les mots de passe, mais uniquement après que les sites web qui embarquent la faille HeartBleed ont appliqué les correctifs. Des services gratuits de tests de vulnérabilité des sites web sont proposés et permettent de valider si une adresse URL renvoie vers un site défaillant. Certains navigateurs, comme Firefox et Chrome, proposent également des extensions qui testent les sites.
Il est conseillé d'apporter une attention particulière aux messages qui arrivent dans les messageries. Des pirates pourraient être tentés de surfer sur la vague HeartBleed pour inviter l'internaute à modifier leurs mots de passe sur des site détournés reprenant l'identité et le logo de services connus. Selon la technologie du phishing ou hameçonnage. Il est également conseillé de contrôler les relevés bancaires les transactions d'achats par carte bancaire sur des sites marchands.
Pour les propriétaires et exploitants de services et de sites, le test de présence de HeartBleed s'impose (Symantec, par exemple, propose un tel outil depuis quelques jours). Il ne s'agit pas d'un virus, mais d'une faille, les systèmes de protection de type antivirus ou antispam n'ont aucun effet ! Ils sont également invités à mettre à jour des serveurs et des applications avec les patchs que fabricants et éditeurs publient depuis quelques jours. Le mieux est de se référer aux responsables infrastructures, réseaux, web et e-commerce de l'entreprise. DSI et RSSI, soyez prêts...
Les conseils de Symantec
L'éditeur donne aux entreprises les conseils suivants :
- Toute entreprise qui utilise la version OpenSSL 1.0.1 à la version 1.0.1f doit impérativement faire la mise à jour avec la dernière version corrigée du logiciel (1.0.1g), ou recompilerOpenSSL sans l’extension Heartbeat ;
- près la mise à jour, si les entreprises pensent que leurs certificats du serveur web ont été compromis ou volés suite à l’exploitation de cette faille, elles peuvent contacter l’autorité de certification pour effectuer un remplacement ;
- Enfin, les entreprises doivent également envisager la réinitialisation des mots de passe des utilisateurs qui peuvent être visibles dans la mémoire d’un serveur compromis.
Symantec donne également aux consommateurs les conseils suivants :
- Les utilisateurs doivent savoir que leurs données sont potentiellement visibles par des tiers s’ils utilisent un opérateur vulnérable ;
- Surveiller les alertes des fournisseurs : lorsqu’une vulnérabilité est découverte, les fournisseurs doivent communiquer auprès de leurs consommateurs et leur demander de changer leurs mots de passe. Les utilisateurs doivent suivre ces consignes ;
- Eviter tout email de phishing potentiel demandant le changement des mots de passe : s’en tenir aux sites et noms de domaine officiels seulement ;
- Ne visiter que des sites et utiliser des services réputés qui corrigent immédiatement les vulnérabilités détectées ;
- Surveiller les comptes bancaires et cartes de crédit pour vérifier toutes transactions inhabituelles.