Gardez vos appareils protégés contre Heartbleed

Heartbleed, un problème qui ressemblait à une autre situation «changez votre mot de passe pour cette petite faille de sécurité», s'est avéré être beaucoup plus grave. Voici quelques conseils pour vous protéger et protéger vos données contre leurs effets.

Qu'est-ce que Heartbleed?

Il s'agit d'une faille de sécurité dans Open SSL qui a en fait été à l'état sauvage au cours des deux dernières années, mais a récemment été portée à l'attention du public. Dans un langage simple, il pourrait être utilisé pour voler des certificats de sécurité et vous faire penser qu'un faux le site est celui que vous envisagez de visiter - comme PayPal ou tout autre site que vous essayez de visiter visite.

Selon les estimations, pas moins des deux tiers d'Internet pourraient être affectés, mais peu de situations dans lesquelles il a été exploité ont été révélées. Même ainsi, il vaut mieux prévenir que guérir, donc tous les sites concernés devront appliquer le correctif, révoquer leurs certificats de sécurité et en émettre de nouveaux.

Pour en savoir plus de détails à jour sur ce bogue, consultez heartbleed.com. Alors que peux-tu faire pour te protéger? Voici des suggestions importantes et précieuses.

Vérifier les sites que vous utilisez régulièrement

Tout d'abord, les bonnes personnes Dernier passage - probablement le meilleur gestionnaire de mots de passe, vous fournit un vérificateur Heartbleed - le trouver ici. Cet outil vous permet de vérifier si un site que vous utilisez est affecté par Heartbleed et vous donne des conseils en cas de problème.

Tapez simplement l'adresse du site et suivez les instructions. J'ai fait cela pour Facebook ci-dessous et on m'a dit que je devrais changer mon mot de passe s'il avait été changé il y a plus d'une semaine.

Vous devez utiliser cet outil avant de changer les mots de passe car, si le certificat n'a pas été modifié, le changement de mot de passe ne servira à rien car il est potentiellement compromis.

D'autres sites que vous voudrez mettre en signet et vérifier souvent sont cette liste constamment mise à jour des sites affectés, sur Mashable. Une liste est également disponible sur GitHub.

Protégez vos navigateurs

Vous souhaiterez configurer vos navigateurs Web pour vérifier la révocation des certificats de serveur. Internet Explorer doit être configuré pour vérifier par certificats par défaut. Mais vous devriez vérifier. Accédez à Options Internet> Avancé. Faites ensuite défiler la page jusqu'à la section Sécurité et vérifiez que la vérification de la révocation des certificats de serveur est cochée. Si ce n'est pas le cas, vérifiez-le, cliquez sur OK et redémarrez IE.

Dans Google Chrome assurez-vous que le paramètre est activé. Il est facile de l'activer en allant dans Paramètres avancés. Ensuite, faites défiler la liste jusqu'à ce que vous trouviez la section HTTPS / SSL et assurez-vous Vérifier la révocation du certificat du serveur est vérifié.

Si vous êtes un utilisateur de Mozilla Firefox, il existe des modules complémentaires qui vous aident à rester en sécurité. Un bon s'appelle Heartbleed-Ext et peut être trouvé ici. Il vous indiquera si le site que vous visitez est vulnérable.

Microsoft et Apple Services Safe

Les services Microsoft ne sont pratiquement pas affectés par le bogue Heartbleed. Les dirigeants de l'entreprise annoncés dans les articles suivants article de blog:

que Microsoft Account, Microsoft Azure, Office 365, Yammer et Skype, ainsi que la plupart des services Microsoft, ne sont pas affectés par la vulnérabilité «Heartbleed» d'OpenSSL. L'implémentation de SSL / TLS par Windows n'est pas non plus affectée. Quelques services continuent d'être examinés et mis à jour avec de nouvelles protections.

Bonne nouvelle, non? Apple a également déclaré, dans un communiqué Recoder, cette

iOS et OS X n'ont jamais incorporé les logiciels vulnérables et les principaux services Web n'ont pas été affectés.

Android 4.1.1 est affecté

Google a publié une déclaration disant qu'une seule version d'Android est affectée par le problème Heartbleed - Android 4.1.1, mais la société a distribué des informations sur les correctifs à ses partenaires. Il a également corrigé tous ses services contre le problème. Juste pour être sûr, les bonnes personnes de Lookout, responsables de l'une des meilleures suites de sécurité Android, Lookout Mobile Security, ont publié une petite application qui vérifiera la version Open SSL sur votre téléphone et vous dira si vous êtes concerné ou non. Vous pouvez installez-le à partir d'ici, dans le Google Play Store (c'est gratuit).

Ou, si vous êtes un utilisateur de Windows Phone 8, vous pouvez installer cette application pratique appelez simplement Heartbleed.

Conclusion

Heartbleed est un problème grave et ne doit pas être pris à la légère. Cependant, si vous suivez certaines de ces instructions simples, vous devriez être d'accord, car tout le monde a pris des mesures pour résoudre le problème.

De plus, comme nous l'avons mentionné à plusieurs reprises sur ce site: Activez l'authentification à deux facteurs (2FA) pour tous les services que vous utilisez qui le fournissent. Nous vous avons montré comment le faire pour de nombreux services populaires répertoriés ci-dessous. Un excellent site à surveiller est également twofactorauth.org. Il a une liste de sites qui proposent 2FA et il est constamment mis à jour.

• Récapitulatif de l'authentification à deux facteurs de Google
• Authentification à deux facteurs de Google Apps
• Authentification Facebook à deux facteurs
• Vérification en deux étapes de Dropbox
• Vérification Microsoft en deux étapes
• Authentification à deux facteurs LastPass
• Authentification LinkedIn à deux facteurs