Bug Heartbleed: la liste des sites français et la marche à suivre pour protéger vos mots de passe

11.04.2014 - 20 h 20

mis à jour le 16.04.2014 à 17 h 59

Capture d'écran du site Heartbleed.com

Dresser cette liste est un exercice compliqué, les entreprises et les organismes concernés communiquant très peu, contrairement à leurs homologues canadiens ou américains.

Mise à jour samedi: la Fnac nous a indiqué ne pas avoir été touché.

Mise à jour 16 avril 2014: Auchan, Booking.com, Price Minister et le Crédit Agricole nous ont indiqué ne pas être affectés par le bug. En revanche, un client de Barclays nous alerte sur la vulnérabilité de cette banque. Contactée, nous attendons sa réponse.

Voilà quatre jours que l'existence du bug Heartbleed, qui affecte un très grand nombre de sites et de services Internet à travers le monde, a été rendue publique. L'exploitation de cette faille permet de collecter des informations potentiellement sensibles: mots de passe, identifiants, voire numéros de carte bancaire, sur les serveurs affectés et est donc à ce titre prise très au sérieux par les experts du réseau.

Chaque internaute est susceptible d'être concerné: selon la Fédération française d'e-commerce et de vente à distance (Fevad), «32,7 millions d’internautes ont déjà effectué des achats sur Internet au 3e trimestre 2013».

Que faire alors pour se protéger? Les spécialistes recommandent aux utilisateurs de changer leurs mots de passe sur chaque site qui a été touché par ce bug. Mais attention: pas avant que les sites en question aient formellement assuré avoir fait le nécessaire pour réparer cette faille et en empêcher l'exploitation à l'avenir.

Problème: il est parfois extrêmement difficile de savoir qui a été concerné ou non. Le 9 avril, le site américain spécialisé Mashable dressait une première liste des sites affectés et de la conduite à tenir, service après service. Google, Amazon, Facebook, Twitter, etc.: ce classement nécessaire met surtout en avant les gros bonnets du web, qui sans surprise, ont été parmi les premiers à réagir, mais aussi des services davantage tournés vers une clientèle américaine.

Pour complèter cette liste, nous avons contacté des services de vente en ligne particulièrement populaires en France (liste établie en fonction du dernier classement de la Fevad,) ainsi qu'une partie des banques françaises. La Fnac, Rue du commerce, Vente privée, la SNCF ou bien encore le Crédit agricole...: voici la conduite à tenir si vous êtes enregistré, avec un identifiant et un mot de passe, sur l'un des sites suivants:

Ce tableau sera mis à jour au fur et à mesure des réponses livrées par les sociétés concernées.

Forcément incomplète –impossible en effet de penser à chaque site Internet!–, cette entreprise de collecte d'informations sur les répercussions d'Heartbleed est aussi considérablement entravée, en France, par une communication quasi inexistante de la part des entreprises et organisme concernés.

Quand certains, à l'instar de Wikipedia ou même du fisc canadien (qui est allé jusqu'à suspendre tout accès public à ses services), s'imposent un exercice de transparence à l'égard de leurs utilisateurs ou de leur clientèle, d'autres font totalement l'impasse sur cette question. Contactée, la Fevad affirme de son côté «n'avoir reçu aucune alerte de ses adhérents», c'est-à-dire le e-commerce français.

«Le danger vient de ceux qui gardent le silence», accuse le site spécialisé Next INpact, qui pointe notamment l'attitude de Darty qui a tardé à communiquer alors que son site (qui figure dans le tableau ci-dessus et donc dans les plus consultés en France), a bel et bien été affecté par le bug Heartbleed. Une situation qui évolue néanmoins, Darty annonçant avoir informé ce 10 avril ses «clients potentiellement touchés»:

Dans les cas que nous avons sélectionnés, il a été particulièrement difficile d'obtenir des réponses claires –quand celles-ci ont été effectivement obtenues. Du côté d'Ebay, on indique par exemple que «les informations personnelles relatives [aux] comptes eBay n’ont pas été exposées» et que... «la faille a bien été réparée». Impossible de savoir néanmoins quelles informations ont pu être affectées par ce bug.

Autre problème: de nombreuses sociétés affirment ne pas être concernées par la faille, en indiquant que leurs sites Internet passent haut la main le test des outils mis en ligne par certains développeurs à la suite de la médiatisation d'Heartbleed. Béquille indispensable dans un premier temps, indicateur parfois salutaire, ces outils ne sont néanmoins pas infaillibles, comme nous vous l'indiquions le 9 avril dernier. Et donnent même bien souvent des résultats contradictoires.

En clair: seuls la communication et l'engagement officiels des entreprises présentes sur Internet, et elles sont nombreuses, pourront fournir des réponses claires aux millions d'internautes qui redoutent d'avoir été mis à poil par Heartbleed.

A.F.

Collé à partir de <http://www.slate.fr/france/85911/bug-heartbleed-comment-reagir-et-sur-quels-sites>