Faille de sécurité d'OpenSSL

Mis a jour : le dimanche 13 avril 2014 à 22:14

Mot-clefs: Informatique sécurité vie-privé chiffrage ssl
Lieux:

Le 7 avril, un informaticien de Google a découvert une faille de sécurité dans un programme qui chiffre les échanges entre votre navigateur et les deux tiers des sites web de la planète.

Cette faille s’appelle heartbleed. Le programme touché s’appelle OpenSSL.

En résumé, le petit cadenas qui devait assurer la confidentialité des échanges (quand vous vous connectez à votre mail par exemple, en allant sur https://mail.riseup.net/) était cassé depuis quelque temps. On ne sait pas si des agences gouvernementales ont découvert cette faille et l’ont exploitée avant le 7 avril.

Pendant ces échanges, vos données, y compris vos mots de passe, ont pu être déchiffrées par des tierces personnes mal intentionnées.

La correction doit être faite par les personnes qui gèrent ces différents serveurs web (le bug n’est pas dans votre navigateur, mais seulement sur le serveur web).

En pratique, pour un utilisateur d’internet, il est recommandé de s’informer si les sites qu’il utilise habituellement ont été touchés, s’ils ont déjà corrigé la faille (les sites importants comme Google, Gmail, Yahoo, Facebook, Twitter ont déjà corrigé la faille).

Après correction du bug, il faut changer tous vos mots de passe.

Concernant Tor, il est recommandé de ne plus utiliser le réseau Tor pour des communications sensibles avec des sites web classiques pendant 1 semaine, le temps que les clefs de chiffrement soient automatiquement changées.

Si vous utilisez des sites Tor en .onion (services cachés), assurez-vous que leur adresse a changé. Si l’adresse .onion n’a pas changé, le site est vulnérable, ne l’utilisez pas.

Le live CD ou live USB Tails n’est pas touché car il utilise une version plus ancienne de OpenSSL.

En bref :

• changez tous vos mots de passe utilisés sur des sites web

• n’utilisez pas le même mot de passe pour des sites web différents (ajoutez 1 truc différent à votre mot de passe pour chaque site)

• un mot de passe sérieux contient au moins 12 caractères dont au moins 1 majuscule, 1 minuscule, 1 chiffre, 1 caractère spécial (*!:%$,.?#°] etc.)

• Astuce : pour améliorer votre mot de passe sans vous prendre la tête, ajoutez plein de fois le même caractère au début, à la fin, voire au milieu. Exemple de mauvais mot de passe : fckMP2013  –> +++fckMP2013***  là c’est mieux

Page donnant de bons conseils pour créer des mots de passe faciles à mémoriser et efficaces :
https://support.mozilla.org/fr/kb/creer-mots-passe-surs-proteger-identite

Questions, critiques, en savoir plus, etc. : cryptomars@cryptoparty.fr,
https://www.cryptoparty.fr et Twitter @cryptomars

P.-S. : Malgré toutes les failles passées, présentes, futures, chiffrer toutes vos communications, même les plus triviales, c’est mieux que de ne pas les chiffrer : ça donne énormément plus de travail aux surveillants et ça augmente la taille de la botte de foin.