OpenSSL est une bibliothèque contenant les Secure Sockets Layer – SSL permettant de chiffrer les communications sur le web. Trois ingénieurs travaillant dans une entreprise spécialisée dans la sécurité et un chercheur dans ce domaine ont mis en évidence la vulnérabilité de certaines versions de cette plate-forme en 2011. C’est une découverte lourde de conséquence puisqu’un nombre important de systèmes d’exploitation utilisent ces dernières. Toutefois, la faille n’a été révélée qu’au début du mois d’Avril afin que les fabricants des serveurs puissent mettre au point les correctifs sans attirer l’attention des personnes malintentionnées.
Mieux connaitre la faille heartbleed
Heartbleed signifie « cœur qui saigne ». Le logiciel OpenSSL touché par cette faille a pour mission d’authentifier les communications des internautes sur le web et de sécuriser leurs données personnelles. Il est symbolisé par une icône en forme de cadenas visible dans la barre de navigation.
Les risques liés au heartbleed
Le heartbleed, surnom donné à la vulnérabilité de l’OpenSSL, met en péril beaucoup de sites Internet et de services. D’après les experts, leur nombre dépasse largement les 500 000. Si les hackers sont en possession des clés de chiffrement et arrivent à exploiter la faille, ils ont la possibilité d’espionner toutes les communications des utilisateurs et de déchiffrer l’ensemble de leurs données informatiques même les envois antérieurs. Ils sont également en mesure de voler des informations personnelles directement sur les sites web ou chez les utilisateurs. Mais le degré d’atteinte dépend de plusieurs paramètres : la version utilisée, les logiciels de sécurité en place, etc.
La faille de sécurité heartbleed est également susceptible d’encourager les tentatives de phishing surtout dans le secteur bancaire. Les institutions financières appellent donc à la vigilance des internautes surtout s’ils reçoivent des courriels les incitant à fournir leur code bancaire et leur mot de passe.
Les applications SaaS n’ont pas été épargnées par Heartbleed. Une société se spécialisant dans l’analyse de ces solutions dans le nuage a d’ailleurs rédigé une liste des logiciels très courants dans les entreprises mais susceptibles d’être touchés par la faille.
Des correctifs disponibles pour les serveurs touchés par heartbleed
Pour préserver les utilisateurs face à cette importante faille de sécurité, les fabricants des serveurs concernés viennent de proposer des patchs ou correctifs. Même les sites web utilisant les versions plus anciennes d’OpenSSL ont eu leur lot de mises à jour. Ces solutions sont proposées gratuitement par les éditeurs. Ils invitent également les utilisateurs à changer de mot de passe une fois que les correctifs soient déployés et d’éviter pendant quelques temps les opérations en ligne à cause de leur sensibilité.
Actuellement, on assiste au recensement des sites web touchés par heartbleed. D’une part, cette activité permet aux spécialistes de la sécurité de corriger au plus vite les failles mais d’autre part, elle fournit aux hackers une liste de victimes potentielles sur un plateau. Les utilisateurs souhaitant savoir si la version d’OpenSSL qu’ils utilisent est concernée par ce problème peuvent faire usage des outils d’analyse proposés gratuitement sur Internet.
Spam, anti-spam, mta, email, fqdn 
A mon avis, il n’y a a pas grand chose à faire à part changer ses mots de passes, les rendre plus forts et les sécuriser. Moi, après une petite recherche, j’ai misé sur Lastpass avec des fonctions anti-vol d’identités et anti-phishing. Pour moi, c’est le plus important car LastPass refuse automatiquement de remplir vos identifiants sur des sites webs de phishing.
OpenSSL, c’est donc ce qui nous rassure en cas d’opération bancaires sur un e-shop ? Le fameux cadenas… Je vais me renseigner sur LastPass, ses fonctions ont l’air bien intéressantes !