Heartbleed, quand changer vos mots de passe ?

Beaucoup d’entre nous ont entendu parlé de la faille « Heartbleed » qui touche un protocole largement utilisé sur le net (« OpenSSL »). Il est recommandé de changer ses mots de passe sur les sites qui utilisent ce protocole et qui ont fait la mise à jour… autrement dit, rien ne sert de se précipiter sur tous vos sites habituels pour changer le mot de passe (*) si ces derniers ne se sont pas sécurisés.

Pour savoir si vos sites habituels ont fait la mise à jour adéquate et recommande de changer de mot de passe, il faut aller voir leurs communications, sur leur site ou email (Tumblr a envoyé un email il y a peu de temps à ce sujet par exemple). Le Monde recense certains sites communs et vous conseille sur le changement de votre mot de passe, ou pas.

(*) enfin, dans une démarche de sécurisation par rapport à « Hearbleed », si vous avez d’autres raisons de vouloir changer votre mot de passe, faites-le

Eléments associés

COMMENTAIRES RESEAUX SOCIAUX

Pour commenter cet article, vous pouvez soit utiliser le module réseaux sociaux ci-dessous (s'il ne s'affiche pas c'est que votre ordinateur bloque l'affichage de facebook sur les sites tiers), ou bien le module traditionnel du blog situé un peu plus bas.

4 Comments

  1. Clément Mérou

    15 avril 2014 at 23:19

    C’est quand que des failles énormes comme celle ci arrive qu’on trouve l’utilité dans des outil de sécurité comme les VPN ( de chez http://tetraupload.com) ou bien dans les solution antivirus :/

    Répondre

    • Messmer

      17 avril 2014 at 14:11

      Moyennement efficace… L’interception peut se faire avant ton VPN. Genre GMAIL => SSL => NSA => VPN => Chez toi…

      Normallement SSL tiendrait la NSA dehors mais pas avec la faille.

      Répondre

      • Messmer

        6 mai 2014 at 17:51

        Le VPN que j’utilise encrypte quand même en AES 256 Bit. (pareil que le SSL en chiffrement) et passe par le port 443.

        Le traffic est donc non lisible.
        Après il va de soit que l’ordinateur doit être exempt de toute backdoord.

        Pour sa que Linux est un bon choix sur ce point.

        Après surtout le plus important, ne plus utiliser ses anciens email, se crée une nouvelle idendité sinon il sera facile de relier les informations entre eux!

        (par exemple ne pas utiliser de mouchard comme facebook et google) mais startpage et skype.

        Répondre

  2. Messmer

    17 avril 2014 at 14:27

    Pour une protection efficace, il faut aller vers l’authentification à facteur multiple : comme une clef Yubico.

    Même si le mot de passe est enregistré, la clef offre un code unique qui change constamment. Ce processus réduit les risques.

    Ce qui est intéressant avec la yubico est qu’elle est reprogrammable. On peut changer sa clef secrète en cas de doutes. J’ai une Yubico classique et attend aussi une yubico neo.

    Répondre

Laisser un commentaire