Faille heartbleed, faut-il s'inquiéter ?



flacky
Cette question a été posée par Flacky, le 11/04/2014 à à 11h13.  *  Alerter les modérateurs
Vous trouverez peut être plus d'information dans l'annuaire de Web-Libre, dans la catégorie Recherche.

Vous pouvez y répondre en utilisant le formulaire situé ici.
 


Liens commerciaux

Réponses



 Flacky a écrit [11/04/2014 - 11h13 - Avis,définition, témoignages et conseils sur le guide du savoir Web Libre.org]  
Flacky

Les rapports sont assez alarmistes alors quoi penser de cette faille Heartbleed ?




 papiguy a écrit [11/04/2014 - 11h48 - Avis,définition, témoignages et conseils sur le guide du savoir Web Libre.org]  
papiguy

Rien ne sert de paniquer !
Avant de s'identifier sur un site il suffit de le tester en utilisant la page suivante (test fait pour web-libre.org):

http://filippo.io/Heartbleed/#web-libre.org

il faut répéter le test à plusieurs reprises. Dans le cas de ce site il semble qu'il n'y ait pas de risque.

Si le test montre qu'il y a une vulnérabilité, il est recommandé d'attendre avant de s'identifier et surtout de ne pas changer identifiant et mot de passe.




 cochise_fr a écrit [12/04/2014 - 12h03 ]  
cochise_fr

Bonjour,
Pas la peine de paniquer.....MAIS:
- c'est une bonne pratique que de changer souvent son ou ses mot de passe quel que soit le site concerné.
- les sites sérieux ont corrigé la faille.....il reste à déterminer qui est sérieux.? Les gros sites le sont en général, les banques aussi.
- personne ne sait depuis combien de temps cette faille est active (on parle de 2012) et depuis combien de temps elle serait connue et par qui. Donc personne ne sait si quelque chose a été volé ou pas, ni depuis combien de temps.
- les entreprises qui ont corrigé la faille récemment ou plus anciennement ne s'en sont pas vantées et n'ont pas informé leurs clients. Il est donc judicieux de changer ses mots de passe.




La richesse d'un pays ne se mesure pas à son PIB. mais à celle du plus pauvre de ses habitants. Améliorez son sort et toute la société en sera meilleure. Dans un pays riche, l'existence de la pauvreté devrait être un délit.


 papiguy a écrit [12/04/2014 - 17h45 ]  
papiguy

Si on est certain de la fiabilité du site, on peut effectivement changer ses mots de passe.
Par contre s'il y a un doute, il est urgent de ne rien faire tant qu'on n'a pas la certitude que le site concerné à réalisé la mise à jour de son système.

nb: l'outil que j'ai indiqué dans ma première réponse ne fonctionne, et n'est à utiliser que sur les sites en https. Sur les autres la réponse qui est "doute" ne correspond à rien.




 zlataner a écrit [15/04/2014 - 11h02 ]  
zlataner

J'ai lu que Heartbleed était peut être la plus grosse faille informatique de l'histoire d'internet, il y a quand même de quoi s'inquiéter. C'est bizarre qu'on en parle pas plus car les gens risquent quand même qu'on leur vole des données importantes.
Je sais bien qu'il ne faut pas paniquer mais bon...




 cochise_fr a écrit [15/04/2014 - 18h13 ]  
cochise_fr

Bonjour,
Personne n'est contraint de confier ses secrets de famille à la toile non plus.
Et chacun peut changer ses mots de passe aussi souvent qu'il le souhaite....même si cela crée quelques désagréments.




La richesse d'un pays ne se mesure pas à son PIB. mais à celle du plus pauvre de ses habitants. Améliorez son sort et toute la société en sera meilleure. Dans un pays riche, l'existence de la pauvreté devrait être un délit.


 papiguy a écrit [15/04/2014 - 18h45 ]  
papiguy

Il ne s'agit pas de secrets de famille !
Les sites concernés par la faille sont ceux utilisant OpenSSL, c'est à dire ceux dits "sécurisés" (HTTPS), notamment ceux permettant des transactions bancaires (achats sur internet notamment).
Tant qu'on n'était pas certains que les sites avaient été sécurisés, il était stupide de changer ses mots de passe.
On peut cependant être maintenant pratiquement certains que tous les sites bancaires et d'achats en ligne ont été mis à jour (par exemple, le fabricant de mon serveur a mis en ligne le correctif le jour ou l'information sur la faille a été diffusée et envoyé l'information à tous ses clients).




 cochise_fr a écrit [15/04/2014 - 21h37 ]  
cochise_fr

Bonjour,
Mais vous ne serez jamais certain qu'un système informatique est sécurisé suffisamment pour les besoins de l'opération.
En matière informatique, on ne peut faire confiance en personne, même pas en ceux qui sont proches ou connus puisque leur sécurité n'est peut-être pas garantie à l'insu de leur plein gré.

Toute opération informatique présente un risque, et ce n'est que l'appréciation de ce risque qui donne de la valeur (ou pas) à l'opération, la variance de ce risque étant entre la confiance aveugle et la paranoïa la plus délirante.




La richesse d'un pays ne se mesure pas à son PIB. mais à celle du plus pauvre de ses habitants. Améliorez son sort et toute la société en sera meilleure. Dans un pays riche, l'existence de la pauvreté devrait être un délit.


 papiguy a écrit [15/04/2014 - 22h05 ]  
papiguy

"Mais vous ne serez jamais certain qu'un système informatique est sécurisé suffisamment pour les besoins de l'opération. ":
Il en va de l'informatique comme de toutes les activités, qu'elles soient humaines ou naturelles.
Le risque zéro n'existe pas, mais est-ce une raison pour ne rien faire ? et même d'ailleurs si on ne fait rien, le ciel peut vous tomber sur la tête.

Dans le cas qui est concerné par la question, le risque est de se faire subtiliser des données sensibles comme les identifiants et mots de passe stockés sur les serveurs de banques, de sites marchands, ainsi que des forums. L'objectif d'un pirate exploitant la faille étant le profit, il s'attaquera de façon préférentielle aux serveurs des banques et des sites marchands.
Le consommateur lambda ne courra aucun risque de se voir spolié car les sites concernés auront l'obligation de le dédommager.
Donc pas de quoi vivre en ermite au fond de sa grotte.

"la variance de ce risque étant entre la confiance aveugle et la paranoïa la plus délirante.":
Pas mal à l'épaule pour avoir si vigoureusement enfoncé une porte ouverte ?




 cochise_fr a écrit [15/04/2014 - 23h54 ]  
cochise_fr

Bonjour,
"L'objectif d'un pirate exploitant la faille étant le profit, il s'attaquera de façon préférentielle aux serveurs des banques et des sites marchands."

C'est bien pour cela qu'il faut changer fréquemment ses mots de passe, voir ses identifiants quand c'est possible, indépendamment du fait de savoir si la sécurité est efficiente ou pas, ce qui n'est jamais certain. Les éventuels voleurs antérieurs n'auront automatiquement plus d'accès avec les données volées et dans le pire des cas la nuisance ne durera que le temps du changement entre deux mots de passe.

C'est aussi pour cela qu'une bonne pratique pour les transactions sensibles et les accès sécurisés est d'avoir des codes à usage unique traçables et à durée limitée au besoin de l'usage. Ainsi, même dérobées, ces données d'accès deviennent inutilisables à la première déconnexion....même involontaire.




La richesse d'un pays ne se mesure pas à son PIB. mais à celle du plus pauvre de ses habitants. Améliorez son sort et toute la société en sera meilleure. Dans un pays riche, l'existence de la pauvreté devrait être un délit.


Répondre à Flacky






Attention vous n'êtes pas connectés !!! sad

Renseignez vos identifiants de connexion au site, sinon votre réponse ne sera affichée qu'après avoir été validée par notre équipe de modérateurs (et sera en plus postée en "Anonyme")

Votre pseudo :
Mot de passe :

smile wink confused normal lol laugh sad angry cool surprised cry eek

    


 Je souhaite être alerté des prochaines réponses !








Poser votre question !   Poser votre question !
* Avertissement : les propos tenus sur cette page sont le fruit de la discussion entre les internautes membres de la communauté Web-Libre, et ne reflètent en rien la conviction personnelle des administrateurs du site.
Copyright © 2013 - Weblibre / Tous droits réservés, propriété exclusive de web-libre.org - Toute reproduction même partielle de ce site sans consentement est interdite et donnera suite à des poursuites.