Conséquences de la faille Heartbleed sur les grands services internet

Cet espace recense les principaux sites et services web pour lesquels il est recommandé de changer ses mots de passe, comme suite à la faille de sécurité Heartbleed :

  • Facebook
  • Google et ses services Gmail et Youtube
  • Instagram
  • Yahoo! et ses services Yahoo Mail, Flickr et Tumblr
  • Pinterest
  • Amazon Web Services
  • et également Soundcloud, Dropbox, Box, Etsy, Netflix, AirBnB, Godaddy, Darty, etc.

Aucun grand site de banque ou autre institution financière ne figure parmi les sites officiellement touchés. Toutefois, la liste suivante n'est pas exhaustive et comprend par ailleurs une limite due aux usages habituels des internautes. En effet, chacun de nous utilise généralement des noms d'utilisateurs et des mots de passe semblables sur des sites différents. Si c'est le cas, il est donc nécessaire de changer ses mots de passe partout où figurent des informations sensibles, et non pas seulement sur les sites affectés par Hearbleed.

Source : Mashable

Les smartphones tournant sous Android sont-ils vulnérables à Heartbleed ?

Plusieurs versions d’Android sont vulnérables à la faille Heartbleed, et en particulier Android 4.1.1, qui est utilisé par environ un tiers des smartphones tournant sous Android. Certaines variantes d'Android 4.2.2 sont également vulnérables si elles ont été modifiées par des constructeurs de smartphones, ce qui est courant sous Android.

Parts de marché des systèmes d'exploitation sous Android

android

Source : Android MT

Dans un communiqué officiel, Google indique que les versions d'Android ne sont pas touchées par la faille CVE-2014-0160, à l'exception d'Android 4.1.1. Pour cette version, Google affirme avoir distribué des patchs aux partenaires Android, lesquels devront se charger de les distribuer auprès de leurs utilisateurs afin qu'ils effectuent les mises à jour.

Que faire si sa version d'Android est 4.1.1 ?

Si l'on utilise un smartphone tournaut sous Android 4.1.1, il est nécessaire de vérifier s'il est vulnérable à la faille Heartbleed, par exemple au moyen d'un outil spécialisé. Si c'est le cas, il est recommandé de faire une mise à jour de son système.

Faut-il changer ses mots de passe Amazon Web services à cause d'Hearbleed ?

 

aws

Amazon Web Services et Heartbleed

Contrairement au site Amazon qui a été épargné, les services Amazon web services ont été touchés par la faille Heartbleed. Les correctifs nécessaires ont été appliqués et les utilisateurs peuvent désormais changer leurs mots de passe.

Voir la déclaration officielle d'Amazon, le 8 avril 2014 >>

Faut-il changer ses mots de passe Facebook à cause d'Hearbleed ?

facebook

Facebook et Heartbleed

Dans sa réponse à Mashable, Facebook a indiqué avoir ajouté des protections à l'implémentation d'OpenSSL avant la découverte du bug. Ils recommandent toutefois à leurs utiliseurs de changer leurs mots de passe.

En conclusion, il est nécessaire de changer ses mots de passe Facebook, même si ce type de compte n'est en principe pas une priorité première des pirates, qui se tourneront de préférence vers les sites de paiement en ligne où sont stockés des numéros de cartes bleues et/ou comptes bancaires.

Faut-il changer ses mots de passe sur les services de Google (Gmail, Youtube...) à cause d'Hearbleed ?

youtube

Google et Heartbleed

Google a déclaré que ses services Gmail, YouTube, Wallet, Play, Apps et App Engine ont été affectés par le bug Heartbleed. En revanche, selon la firme de MoutainView, Google Chrome and Chrome OS ne l'ont pas été.

Google recommande de changer tous ses mots de passe sur les services Google.

Faut-il changer ses mots de passe Instagram à cause d'Hearbleed ?

instagram

Instagram et Heartbleed

Comme sa maison-mère Facebook, Instagram n'a pas détecté de trace de détournement de données au moyen de la faille Heartbleed. Toutefois cette réponse apportée à Mashable n'est pas synonyme de sécurité à 100 %, puisque l'utilisation de la faille Heartbleed ne laisse pas de trace.

En conclusion, il est souhaitable de changer ses mots de passe Instagram, en particulier s'il s'agit de mots de passe utilisés par ailleurs.

Faut-il changer ses mots de passe Pinterest à cause d'Hearbleed ?

pinterest

Pinterest et Heartbleed

Pinterest a indiqué que la faille Hearbleed était présente dans leur système, mais qu'elle est désormais éliminée. Les responsables de Pinterest ont contacté par email leurs membres pour les inviter à changer leurs mots de passe.

Faut-il changer ses mots de passe Tumblr à cause d'Hearbleed ?

tumblr

Tumblr et Heartbleed

Comme sa maison-mère Yahoo!, Tumblr n'a pas remarqué de signaux indiquant que la faille Heartbleed ait été exploitée dans sa plateforme de microblogs. Tumblr indique avoir effectué les correctifs nécessaires à la disparition de la faille, et invite désormais ses membres à changer leurs mots de passe.

Faut-il changer ses mots de passe Twitter à cause d'Hearbleed ?

twitter

Twitter et Heartbleed

Twitter déclare ne pas avoir été affecté par la faille Heartbleed, mais reconnaît dans le même temps avoir appliqué des patchs permettant de corriger le bug. Pour plus de sécurité, en particulier pour les utilisateurs choisissant les mêmes couples login/mot de passe sur des sites différents, il est recommandé de changer ses mots de passe Twitter.

Faut-il changer ses mots de passe Yahoo! à cause d'Hearbleed ?

yahoo

Yahoo! et Heartbleed

Yahoo! a reconnu avoir été affecté par la faille Heartbleed, que ce soit pour ses services propres (ex. Yahoo! mail) ou pour ses sites filiales (Flickr, Tumblr...).

Yahoo! a déclaré avoir effectué les correctifs nécessaires et recommande désormais à ses utilisateurs de changer ses mots de passe.