Sur Yahoo, Gmail, Facebook ou Twitter, changez vite vos mots de passe

Probablement le "pire cauchemar" qui puisse se produire en matière de sécurité des échanges de données sur la toile, déplorent des experts. Baptisée "Heartbleed" (cœur qui saigne) en référence à son mode de fonctionnement, cette faille de sécurité mondiale a fait l’effet d’une bombe et a mobilisé de très importantes ressources au sein des grandes entreprises.

Et pour cause, cette brèche dévoilée mardi 8 avril aux multiples sites concernés permet à des pirates de récupérer vos mot-de-passes, identifiants et autres informations personnelles.

Découvert au sein du très répandu logiciel OpenSSL, chargé de la mise en place et de la protection des protocoles TSL/SSL fondamentaux et indispensables (ils permettent au navigateur d’authentifier la page sur laquelle vous vous connectez et protègent vos mots de passe, codes de cartes bancaires etc.), ce bug aurait découlé d’une erreur “humaine“ de programmation, selon The Sydney Morning Herald.

Il impacte une vaste étendue de la toile en raison de l’installation du logiciel libre sur plus de 500.000 serveurs, selon des statistiques établies par la firme spécialisée Netcraft.  Bien que l’ampleur des dégâts n’ait pas été mesurée, les spécialistes suggèrent le potentiel négatif de cette faille, présente dans toutes les versions d’OpenSSL sorties depuis mars 2012, précise le quotidien Le Monde.

Un vent de panique a soufflé dans les couloirs des géants d’internet, qui ont néanmoins rapidement pris le taureau par les cornes. En effet, la plupart des sites touchés ont déclaré avoir appliqué une mise à jour pour combler cette faille de sécurité.

Ainsi, Google (Gmail, Youtube, Wallet Play), Yahoo (Yahoo Mail, Flickr, Tumblr) mais également les réseaux sociaux Facebook, Pinterest, Instagram, Twitter, ou encore Airbnb, Netflix, Dropbox, le site de jeu (Minecraft), de rencontres (OKcupid), de musiques (SoundCloud) ont indiqué avoir pris les mesures nécessaires.

Les responsables en appellent toutefois à la plus grande prudence des utilisateurs qui ont, dans l’intervalle, pu être victime d’actes malveillants. “Si des personnes se sont identifiées sur un de ces services à un moment où celui-ci était vulnérable, il y a un risque pour le mot-de-passe ait été récolté. Changer ses mot-de-passes sur tous les portails qui ont procédé à la mise à jour d’OpenSSL est une bonne idée“ assure un spécialiste de la sécurité informatique, à la BBC. Le Washington Post précise à cet effet, qu’il était indispensable d’attendre le message de mise à jour des sites suspectés avant de se creuser les méninges pour proposer de nouveaux identifiants.

Certains sites vous faciliteront la tâche en demandant explicitement aux utilisateurs de modifier les informations d’identification. D’autres en revanche, préciseront avoir effectué la mise à jour prescrite, sans détailler pour autant la marche à suivre pour l’utilisateur. Le principe de précaution est-il de rigueur? Ce n’est sans doute pas totalement inutile à en croire des ingénieurs de Google ou des spécialistes de la sécurité informatique. Ken Munro, analyste auprès de la société Pen Test Partners explique en effet la difficulté de détecter l’exploitation de cette faille, qui ne laisse que peu de traces.

Changer les données d’identification sur les sites ayant mis à jour semble donc être un bon compromis. Alors prière de faire preuve d’un brin d’imagination pour modifier vos mot-de-passes : exit les « 123456 », les « password » ou « mot de passe »et préférez les « phrase-de-passes » qui ont le mérite d’être quasiment inviolables.