Faille de sécurité Revenu Canada et autres sites: comment se protéger?

Une importante faille de sécurité a été découverte le 8 avril 2014 et cause tout un émoi sur le Web, notamment du côté de l'Agence de Revenu du Canada qui a interrompu son service d'envois de documents en ligne en pleine période des impôts.

Le nom de cette faille: Heartbleed.

Son nom est partout, et avec raisons, comme elle permet aux pirates informatiques de dérober un lot d'informations confidentielles, notamment vos mots de passe et vos numéros de cartes bancaires.

La brèche de sécurité touche certaines versions du populaire logiciel d'encodage OpenSSL, qu'on connaît surtout pour le petit cadenas qui s'affiche à côté d'un URL dans la barre d'adresse pour prouver que le site protège les données sensibles qu'il recueille.

Quels sites sont touchés par cette faille? Quoi faire pour s'en protéger?

On fait un petit tour rapide de la situation pour vous aider à comprendre Hearbleed.

 

Heartbleed en bref...

Heartbleed est une énorme faille de sécurité qui touche certaines versions du logiciel d'encodage OpenSSL.

Elle existerait depuis 2 ans, mais n'aurait été découvert que récemment par des chercheurs de Codenomicon et Google Security.

La faille permettrait à des pirates de déverrouiller les données cryptées d'un site.

Résultats? Vos données personnelles recueillis par des sites utilisant les versions touchées d'Open SSL pourraient se retrouver dans les mains de gens mal intentionnés.

On raconte qu'environ 500 000 sites auraient été affectés par Heartbleed.

 

Quoi faire?

Bien que des géants du Web aient été touchés par cette faille, la plupart devraient normalement avoir déjà remédié à la situation puisqu'un correctif (une mise à jour) est disponible.

Pour ces sites, il est recommandé de modifier immédiatement son mot de passe afin que l'ancien, qui a possiblement été dérobé par des pirates informatiques, ne soit plus valide.

Bonne nouvelle pour les utilisateurs de Facebook, il semblerait que la faille aurait déjà été corrigée de leur côté!

On dit aussi que Desjardins et les applications de banques canadiennes ne seraient pas concernées.

L'Agence du Revenu du Canada a toutefois interrompu ses services en ligne par mesures préventives et affirme que les données des usagers sont en sécurité.

Par mesure de sécurité, il est bon de modifier son mot de passe pour des sites utilisant OpenSSL tels que Facebook, Tumblr, Google (dont Gmail), Yahoo (dont Yahoo Mail), Dropbox, Wunderlist, etc.

Liste des sites où vous devriez changer votre mot de passe

Choisir un bon mot de passe

Voici un outil qui permet de tester si un site est touché par la faille ou non.

Vérifier si un site est touché par Hearbleed

On recommande également d'être attentif aux courriels frauduleux, de garder l'œil ouvert sur ses comptes bancaires pour repérer rapidement toute transaction suspecte et d'éviter les sites dont la faille n'a pas encore été réparée.

Plus d'infos sur Heartbleed (contenu en anglais seulement)

Petit bloc bas de chronique