Vous le savez, une faille heartbleed, ou faille de sécurité a récemment été découverte dans une technologie largement utilisée par les sites web de tous ordres.
Le résumé du danger représenté par Heartbleed tient en deux lignes
- Présente depuis mars 2012
- Officiellement découverte en avril 2014
Entre-temps, si des personnes ont exploitĂ© cette faille, elles ont pu, par exemple, enregistrer tous nos mots de passe (cloud, banques, e-commerce…) en vue de s’en servir plus tard.
Par consĂ©quent, mĂŞme si les sites concernĂ©s ont corrigĂ© ou corrigent cette faille, nos mots de passe datant d’avant la dĂ©couverte peuvent toujours ĂŞtre stockĂ©s par des personnes malveillantes.
C’est pourquoi, en cas de faille heartbleed, nous engageons tout utilisateur de service en ligne Ă opĂ©rer les actions suivantes (les liens concernent spĂ©cifiquement les comptes Google Apps for Business) :
- Changer de mot de passe. Si cela vous semble compliquĂ©, ajoutez simplement une lettre ou un chiffre au dĂ©but ou Ă la fin. C’est une action simple qui rend l’exploitation de vos mots de passe plus difficile.
- Activer la vĂ©rification en deux Ă©tapes (Information complĂ©mentaire pour les administrateurs) Cette action vous permet de doubler votre mot de passe d’un code Ă usage unique gĂ©nĂ©rĂ© par votre tĂ©lĂ©phone. Une contrainte très lĂ©gère par rapport au risque que reprĂ©sente l’accès Ă vos informations.
- Vérifier la liste des applications tierces ayant accès aux données de votre compte Google.
- Voir la session La sécurité de mon compte
Par ailleurs, nous vous recommandons de rĂ©aliser pĂ©riodiquement, par exemple tous les 3 mois, l’audit, l’ajustement et la mise en oeuvre des politiques de sĂ©curitĂ©. Cela concerne, par exemple, la complexitĂ© et le renouvellement des mots de passe, les utilisateurs ayant quittĂ© la structure, les niveaux de partage des documents (combien de documents sont publics actuellement dans votre structure…), les accès aux donnĂ©es par des applications tierces, etc.