Apple s’estime protégée de la faille SSL
Après la révélation, le 7 avril dernier, de l’existence d’une grosse faille de sécurité dans OpenSSL, faille nommée “Heartbleed” et permettant d’intercepter en clair les mots de passe et noms d’utilisateurs, les principaux acteurs du web tentent de rassurer leurs utilisateurs. Facebook, Google, Yahoo ou encore DropBox ont tous indiqué avoir effectué les modifications requises pour sécuriser les connexions à leur service.
Apple, de son côté, a communiqué un peu plus tardivement, parle biais d’une déclaration à Re/code. «Apple traite les questions de sécurité avec beaucoup de sérieux», affirme d’emblée Cupertino qui poursuit : «OS X et iOS n’ont jamais intégré le logiciel vulnérable et les services web essentiels ne sont pas affectés».
Pour les détails, on repassera : Cupertino ne précise pas si ses services web – iCloud par exemple – ont été affectés mais corrigés rapidement, ou si ceux-ci n’utilisaient pas l’implémentation trouée d’OpenSSL.
Quoi qu’il en soit, la faille “Heartbleed” doit conduire tous les utilisateurs à changer les mots de passe des services web qu’ils utilisent. Il n’est, en effet, pas possible, de déterminer si des données précises ont été compromises pour tel ou tel service, l’interception ne laissant aucune trace anormale.
C’est sans doute l’opportunité pour chacun de mettre un peu de sérieux dans la gestion de la kyrielle de mots de passe que chacun utilise. Une méthode correcte est d’utiliser un générateur de mots de passe aléatoires, ou de créer spécifiquement des mots de passe complexes. Pour s’y retrouver, il suffit de stocker ceux-ci de manière sécurisée – par exemple en créant des Notes dans le trousseau d’accès d’OS X comportant les différents mots de passe utilisés. L’utilisateur n’a, alors, qu’un seul mot de passe à mémoriser pour accéder à tous les autres.
