How we secure the web (HTTPS, HSTS & PFS)

resetthenet:

For many of us, communicating, reading, working, and socializing on the Internet starts and ends with the web. So, any push to end mass surveillance must start there.

HTTPS, HSTS, and PFS (perfect forward secrecy) are powerful tools that make mass spying much more difficult. Until websites use them, we’re sunk: agencies like the NSA can spy on everything. Once they’re ubiquitous, mass surveillance is much harder and more precarious—even if you’re the NSA.

Here’s how sites can do their part to end mass surveillance, what it gets us, and why it matters so much to Reset the Net and the overall fight.

Read More

HeartBleed

Hello les techos! Vous avez surement lus diverses choses sur HeartBleed, un bug révélé il y a maintenant deux semaines qui a secoué tout l’Internet. Si ce n’est pas le cas, lisez ce qui suit avec attention car votre sécurité en ligne est en jeu !

HeartBleed, c’est quoi?

HeartBleed est un bug du logiciel openSSL. Il a été révélé au grand public le 1er avril 2014 mais existe vraisemblablement depuis deux ans.

Son nom qui signifie saignement de cœur est lié au terme heartbeat, battement de cœur, qui est un protocole utilisé dans le SSL.

Pour faire simple, quand vous utilisez une connexion sécurisée sur internet, votre navigateur discute avec le serveur de manière encryptée, c’est SSL. De nombreux serveurs, comme ceux de facebook, google, microsoft et au moins 500000 autres sites web dans le monde utilisent un programme gratuit et open source appelé openSSL pour ne pas avoir à programmer cette sécurité eux même.
Seulement, lors de cette échange de donné, la connexion est maintenue par une sorte de ping pong entre le serveur et votre pc, le battement de cœur, et Heartbleed, permet, en trichant un peu dans la demande de battement de cœur, d’obtenir des données que le serveur ne devrait pas offrir au clients. Pour les hardcores, les infos techniques sont par ici, pour les autres, ça marche grosso modo comme ça:

image

Ou est le problème?

Le problème c’est que n’importe qui d’un peu compétent et mal intentionné peu lire les informations contenues sur un serveur: Mots de passe du site, mais aussi données bancaire, bases clients, numéros de carte bleu…

Sachez donc que n’importe quelle donnée que vous avez confié à un site web sécurisé ces deux dernières années est susceptible d’être perdu dans la nature.

Que faire pour se protéger?

Le boulot principal revient aux administrateurs serveurs des sites concernés, ils doivent mettre à jour vers la version corrigé d’openSSL qui corrige le bug.

Vous, vous devez absolument changer vos mots de passe sur tous les sites concernés, sauf si vous utilisez la double identification.

Et si vous ne l’utilisez pas, mettez vous à l’utiliser. C’est très simple, dans les options des sites, il y a un endroit pour l’activer. Une fois que c’est fait, lorsque vous vous connectez à un site depuis un autre ordinateur que d’habitude vous devez fournir un code supplémentaire qui vous est fourni par mail, sms, ou une application de votre smartphone.

La plupart des sites importants proposent ce service: Google, Facebook , Twitter, Yahoo, Apple, Microsoft, LinkedIn, Paypal

Et après?

Un des problèmes dans cette histoire, maintenant qu’elle est en voie d’être réglé, c’est la malhonnêteté de certaines entités. Par exemple, la NSA connaissait le bug depuis longtemps, et l’exploitait pour obtenir des informations de manière tout à fait illégale. Il y a aussi Google qui a réglé le problème au mois de mars sur ses serveurs et n’a averti personne du bug.

Et malheureusement de nombreux autres bugs du même acabit se prommènent probablement sur notre internet adoré. Alors restez prudents.