La faille Heartbleed décryptée pour vous

Vous avez certainement entendu parler du bug des certificats SSL avec le désormais célèbre Heartbleed.  Découvrez en plus sur cette faille et sur les moyens de s’en prémunir.

Qu’est-ce qu’Heartbleed?

Il s’agit en fait d’une faille du protocole OpenSSL présent dans Android qui vient d’être découverte. Elle permet ainsi de subtiliser des informations envoyées via Internet dès que le protocole est utilisé. Cette faille qui touche le protocole OpenSSL serait en fait présente depuis environ 2 ans. Les chercheurs viennent tout juste de découvrir ce bug qui permet à des personnes mal intentionnées de voler les données personnelles des connexions utilisant OpenSSL grâce aux protocoles SSL et TLS. C’est notamment le cas du HTTPS qui permet de se connecter aux sites sensibles comme les réseaux sociaux, les webmails ou encore les sites bancaires.

Androïd est-il touché ?

Androïd est effectivement potentiellement vulnérable à cette faille. La version d’OpenSSL actuellement disponible sur Androïd, la 1.0.1f est vulnérable. La faille touche en fait toutes les versions d’OpenSSL de la 1.0.1 à la 1.0.1f. Bonne nouvelle toutefois : la version 1.0.1g sortie le 7 avril a permis de supprimer le bug. Mais pour être déployée sur Android, il faut aussi une mise à jour de la ROM du téléphone. Il ne reste plus qu’à espérer que les constructeurs jouent le jeu mais on peut craindre que certains téléphones anciens ne soient pas mis à jour et demeurent vulnérables.

Comment se protéger de cette faille ?

Si votre terminal, votre ordinateur et même le serveur se lequel vous vous connectez dispose de l’ancienne version d’OpenSSL, vos données personnelles courent un risque réel. Pour les téléphonse Androïd, certains éditeurs d’antivirus, ont créé des applications dédiées pour vérifier la version d’OpenSSL sur votre terminal. C’est notamment possible via Heartbleed Detector. Mais dans le cas où votre terminal a subi cette faille, cela dépend de la promptitude des constructeurs ou opérateurs à délivrer un correctif.

En ce qui concerne les sites internet et leurs serveurs, vous pouvez vérifier la fiabilité des sites que vous visitez (et surtout où vous effectuez des achats sur ces 2 sites : https://www.ssllabs.com/ssltest/index.html ou https://filippo.io/Heartbleed/#slate.fr.  Une liste des sites vulnérables existe sur Github, sachant que les webmasters luttant actuellement pour résoudre ce problème, un grand nombre de sites vulnérables ne prendront pas toutes les mesures nécessaires, car cela implique des processus de routine qui sont complexes, notamment la suppression et le renouvellement de certificats SSL. Il est évident que certains groupes de pirates informatiques recueillent déjà les identités SSL de tous les hôtes vulnérables afin de reproduire des attaques ultérieurement.

La solution la plus sûre pour protéger vos connexions internet depuis votre ordinateur, votre mobile ou votre tablette est d’utiliser un service VPN. Vous vous assurerez ainsi qu’aucune personne mal intentionnée n’écoute et n’utilise les données que vous envoyez lors d’une connexion internet non protégée. Vous éviterez que vos mots de passe bancaires, vos comptes e-mail ou vos profils de réseaux sociaux soient interceptés et exploités à votre insu.

Notre service Le VPN codera votre connexion internet par un cryptage complexe grâce à l’algorithme AES-256. Ce codage rendra impossible toute interaction avec vos données personnelles,  et cela, même lorsque votre connexion a été compromise ou interceptée. Chaque information que vous enverrez ira directement dans votre tunnel virtuel sécurisé. Avec Le VPN vous pouvez facilement diriger votre trafic en choisissant un serveur dans l’un des 100+ sites disponibles. Ainsi, vous vous assurez  les services du meilleur VPN disponible pour une connexion Internet sécurisée, depuis votre ordinateur, tablette ou téléphone portable.