Utilisez cet outil pour savoir si un site est affecté par la faille de sécurité Heartbleed


La faille de sécurité Heartbleed qui a été découverte mardi 8 avril au sein du logiciel OpenSSL a touché de nombreux sites internet, et qui dit « nombreux » dit les sites que vous utilisez chaque jour comme Yahoo, Imgur, Flickr, … Google et Facebook ne semblaient pas être touchés mais ils ont procédé à une mise à jour de sécurité hier (voir le communiqué de Google).

heartbleed


« Cette faille permet à d’éventuels pirates de récupérer des informations stockées sur la mémoire des serveurs du site vulnérable. Des informations personnelles censées être inaccessibles et protégées : plusieurs experts sont aisément parvenus à retrouver des mots de passe d’utilisateurs de sites vulnérables. […] Il est envisageable que les certificats, sorte de clé de voûte de la sécurisation des données par TLS/SSL, censés être privés et très protégés, aient été rendus accessibles par la faille. Ce qui signifie que même lorsque la faille d’OpenSSL sera corrigée et la nouvelle version appliquée aux sites vulnérables, des assaillants qui ont préalablement intercepté la clé nécessaire au déchiffrement des données protégées seront encore en mesure d’y accéder.
« Ce sont les joyaux de la couronne, les clés de chiffrement elles-mêmes », souligne le site Heartbleed.com. Ces clés « permettent aux pirates de déchiffrer tous les trafics, passés et à venir, vers les services protégés et d’imiter ces services ». Il est également possible que les « cookies », ces fichiers qui stockent vos identifiants sur un site afin de vous identifier, soient également accessibles, ce qui permet potentiellement à un assaillant de se connecter en votre nom au site en question. » [source : lemonde]

Pour tester si un site en particulier est touché par la faille Heartbleed, on peut utiliser le site filippo.io/Heartbleed/. Quelques exemples de sites qui étaient compromis mais qui ont peut-être corrigé la faille depuis :

Testing yahoo.com… vulnerable.
Testing imgur.com… vulnerable.
Testing stackoverflow.com… vulnerable.
Testing kickass.to… vulnerable.
Testing flickr.com… vulnerable.
Testing sogou.com… vulnerable.
Testing adf.ly… vulnerable.
Testing outbrain.com… vulnerable.
Testing archive.org… vulnerable.
Testing addthis.com… vulnerable.

Plus d’infos sur cette vulnérabilité majeure sur le site heartbleed.com.