Qu`est-ce que Heartbleed Bug et comment vous protéger et rester en sécurité

Près de 70% du trafic sur Internet utilise OpenSSL pour sécuriser les transferts de données. Cela se traduit par presque tous les principaux serveurs (lire: sites Web) utilisent OpenSSL pour sécuriser vos données telles que les informations d`identification de connexion. Cependant, quelqu`un de Google a trouvé un bogue dans OpenSSL - une erreur de programmation mineure mais assez importante pour donner vos données aux pirates informatiques - des personnes désireuses d`utiliser vos données pour leurs besoins. Ce bug OpenSSL est nommé Heartbleed car il est étroitement lié à une couche HeartBeat d`OpenSLL

Qu`est-ce que Heartbleed Bug

La plupart des serveurs acceptent les données cryptées, les décodent en utilisant les clés de cryptage pour le traitement. Comme la plupart des serveurs utilisent la méthode FIFO (First in First Out) pour servir les utilisateurs finaux, les données (après déchiffrement) restent souvent dans la mémoire du serveur pendant un certain temps avant que le serveur ne les traite pour un traitement ultérieur. un cas d`inquiétude pour presque tous les sites Web commerciaux basés sur Internet et d`autres types. Cette erreur de programmation permet aux pirates de vérifier dans n`importe quel serveur qui utilise OpenSSL et de lire / enregistrer / utiliser les données non cryptées (données déchiffrées). Les pirates ont maintenant non seulement accès à vos données, ils peuvent reproduire le certificat de site Web rendant Internet encore plus dangereux. Avec la copie du certificat de site Web, les pirates peuvent créer des sites imitant: des sites qui ressemblent à des sites originaux. Avec cela, ils peuvent encore accéder à vos données telles que les détails de carte de crédit, des informations personnelles, etc.

Les sons effrayants, n`est-ce pas? Il est - en effet - car il peut accéder à vos informations et que ces informations peuvent être utilisées pour toute fin.

Note

: Heartbleed a également un nom de code CVE-2014-0160. CVE est l`abréviation de Common Vulnerabilities and Exposures. Ces codes liés aux vulnérabilités, etc. sont donnés par MITER, un organisme indépendant qui garde les traces de bugs et de problèmes similaires. Dois-je mettre à jour mon Anti-Virus ou quelque chose

Le bug Heartbleed dans OpenSSL n`a rien à voir avec votre antivirus ou votre pare-feu. Ce n`est pas un problème côté client, donc vous pouvez faire peu à ce sujet. d`un autre côté, les serveurs doivent appliquer un correctif au système OpenSSL qu`ils utilisent. Cela fait, le site web peut être considéré comme plus sûr pour interagir.

Ce que vous pouvez faire en tant qu`utilisateur est de réduire le nombre de visites sur le commerce et les sites similaires. Ce n`est pas que le bug affecte uniquement les sites de commerce. Il est égal pour tous les types de sites Web qui utilisent OpenSSL. Je dis éviter les sites de commerce pendant un certain temps car ils seraient la cible principale des pirates qui voudraient les détails de votre carte, etc. Cela signifie que la cible principale des pirates serait des sites de commerce électronique utilisant OpenSSL.

Une fois que vous recevez un message / signaler que le bug est corrigé, vous pouvez continuer comme vous le faisiez avant la découverte du bug. OpenSSL a créé un correctif et l`a publié pour que les propriétaires de sites Web puissent sécuriser les données de leurs utilisateurs. Jusque-là, essayez d`éviter les sites où vous devez donner vos données sous quelque forme que ce soit - même les identifiants de connexion. Je suis sûr que presque tous les webmasters doivent y aller pour le patch mais il y a toujours un problème. Une fois que vous êtes sûr qu`il n`y a pas de vulnérabilités ou que de telles vulnérabilités ont été corrigées, il peut être utile de changer vos mots de passe.

En attendant, utilisez ces extensions de navigateur pour vous avertir des sites affectés par Heartbleed. via Heartbleed doit être traité

Il y a de fortes chances que des certificats de sécurité de site Web aient été copiés pour créer des sites Web malveillants. Depuis les certificats de sécurité en tant que copies générales, vos navigateurs ne peuvent pas faire la différence. c`est vous qui devez rester prudent. Évitez de cliquer sur des liens et, à la place, tapez l`URL du site Web dans la barre d`adresse afin que vous ne soyez pas redirigé vers un faux site.

Ce problème peut être résolu de deux façons:

Les navigateurs disponibles sur le marché doivent être suffisamment intelligents pour identifier les certificats copiés et vous alerter

Les webmasters changent les certificats après avoir appliqué le correctif.

1. En d`autres termes, il faudra un certain temps pour mettre en œuvre ci-dessus même si les webmasters appliquent le correctif. Je voudrais réitérer que ne cliquez pas sur les liens dans les e-mails ou les sites Web non réputés. Simplement, tapez l`URL dans la barre d`adresse ou si le site d`origine est marqué comme signet, utilisez le signet.
2. La section Références à la fin de cet article contient une liste incomplète de sites Web affectés. Incomplet car il peut y avoir plus de sites Web affectés que ceux énumérés ici

Références:

Heart Bleed: Site Web

OpenSSL: Avis de sécurité pour Heart Bleed

• Git Hub: Liste des sites Web concernés.