Vous le savez, une faille heartbleed, ou faille de sécurité a récemment été découverte dans une technologie largement utilisée par les sites web de tous ordres.
Le résumé du danger représenté par Heartbleed tient en deux lignes
- Présente depuis mars 2012
- Officiellement découverte en avril 2014
Entre-temps, si des personnes ont exploité cette faille, elles ont pu, par exemple, enregistrer tous nos mots de passe (cloud, banques, e-commerce…) en vue de s’en servir plus tard.
Par conséquent, même si les sites concernés ont corrigé ou corrigent cette faille, nos mots de passe datant d’avant la découverte peuvent toujours être stockés par des personnes malveillantes.
C’est pourquoi, en cas de faille heartbleed, nous engageons tout utilisateur de service en ligne à opérer les actions suivantes (les liens concernent spécifiquement les comptes Google Apps for Business) :
- Changer de mot de passe. Si cela vous semble compliqué, ajoutez simplement une lettre ou un chiffre au début ou à la fin. C’est une action simple qui rend l’exploitation de vos mots de passe plus difficile.
- Activer la vérification en deux étapes (Information complémentaire pour les administrateurs) Cette action vous permet de doubler votre mot de passe d’un code à usage unique généré par votre téléphone. Une contrainte très légère par rapport au risque que représente l’accès à vos informations.
- Vérifier la liste des applications tierces ayant accès aux données de votre compte Google.
- Voir la session La sécurité de mon compte
Par ailleurs, nous vous recommandons de réaliser périodiquement, par exemple tous les 3 mois, l’audit, l’ajustement et la mise en oeuvre des politiques de sécurité. Cela concerne, par exemple, la complexité et le renouvellement des mots de passe, les utilisateurs ayant quitté la structure, les niveaux de partage des documents (combien de documents sont publics actuellement dans votre structure…), les accès aux données par des applications tierces, etc.