Notre veille

Article

Heartbleed, open bar sur les données utilisateurs

Article E-réputation

Le sujet n'a pas mis en émoi le web francophone. Si près de 300 médias ont repris l'information, le grand public, lui, n'a pas suivi quant à l'annonce de la découverte d'une faille potentielle dans la protection des données utilisateurs (nommée Heartbleed). Pourtant, tous les internautes sont concernés. Découverte lundi 7 avril, la faille Heartbleed concerne le chiffrement SSL/TLS, responsable de la sécurité de 66% des pages du web ouvert*. Elle provient d'une version obsolète de la bibliothèque logicielle de cryptographie OpenSSL. Lorsqu'un administrateur web ne met pas cette version à jour (pour des raisons financières, principalement), il expose les données de ses utilisateurs à la portée de hackers confirmés. Différents « niveaux » de données sont concernés : des emails aux simples identifiants et mots de passe en passant par les données bancaires des services e-banking. Si les sites touchés recommandent désormais à leurs utilisateurs de modifier leurs identifiants de connexion, reste le problème de la sécurité à long terme. En effet, les données de chiffrement destinées à sécuriser durablement les sites sont également accessibles. Mettre à jour ces données représente un coût que tous les sites ne sont pas prêts à payer. Du reste, même si les internautes modifient leurs identifiants, impossible pour eux ou pour les administrateurs web de savoir quelles données utilisateurs ont été usurpées. Il est donc fortement recommandé de mettre à jour ses identifiants sur les sites et réseaux sociaux les plus consultés. Mashable a publié une liste non-exhaustive des sites vulnérables à Heartbleed. Il est important de noter que certaines banques électroniques et sites e-commerce disponibles en France ont également été touchés. Peu d'entreprises ont, à date, communiqué sur le problème. Pourtant, c'est bien la confiance des utilisateurs à l'égard des services et des marques qui est en jeu. Heartbleed nous rappelle que la confidentialité des données ne dépend pas seulement de la politique des sites, mais également de leurs infrastructures. Le service IFTTT qui permet de relier plusieurs web applications entre elles (sous réserve de fournir l'ensemble de ses identifiants Facebook, Up, Instagram, Evernote, Soundcloud, Reddit, etc.) fait figure de bon élève et n'a pas hésité à révoquer l'accès à son service pour régler le problème et protéger les données de ses utilisateurs, après avoir annoncé publiquement que son service avait été  touché.   *Source http://heartbleed.com/
Chargement