La faille, surnommée Heartbleed, a en effet forcé l’ARC à mettre hors ligne une partie de son site mercredi. Est-ce que les conseillers devraient s’en inquiéter?
Qu’est-ce que Heartbleed fait: c’est une faille dans un logiciel utilisé par le deux tiers des sites Internet, soit OpenSSL. Ce logiciel est utilisé pour fournir un accès sécurisé à des sites web, en utilisant des « touches » digitales entreposées sur un serveur. Or, la faille permettait à des pirates d’accéder à une petite partie de ce serveur.
Ce que ça signifie en pratique: cette faille est, en quelque sorte, l’équivalent de donner une deuxième clé de votre maison à quelqu’un. Cette personne aura accès, à travers les comptes piratés, à de l’information administrative, à des fichiers encryptés et à des communications sécurisées.
Grâce à ces informations, les pirates informatiques peuvent plus facilement usurper l’identité d’un particulier. Pour un conseiller, qui doit souvent s’identifier pour avoir accès à des sites web transactionnels, se faire voler son identité pourrait potentiellement être désastreux.
Quels sites cette faille affecte-t-elle: le site de l’ARC, bien sûr, mais également les médias sociaux, les sites de courriel, de messagerie instantanée et bien d’autres sites parsemés à travers Internet. De plus, si le système d’exploitation d’un ordinateur n’est pas mis à jour, il pourrait continuer d’être vulnérable à Heartbleed.
Il est à noter que l’Association des banquiers canadiens (ABC) a déjà assuré que les sites des grandes banques canadiennes n’avaient pas été touchés par cette faille.
Comment peut-on régler le problème: les sites eux-mêmes doivent agir puisque les versions les plus récentes d’OpenSSL ne sont pas vulnérables à cette faille. Une mise à jour est donc de mise!
Que devrait-on savoir de plus : le conseiller devrait faire quelques recherches afin d’identifier les sites vulnérables à cette faille. Le conseiller devrait contacter l’administrateur des sites qu’il utilise quotidiennement dans la gestion pour vérifier s’ils sont touchés. Une fois que le site aura éliminé sa vulnérabilité, les mots de passe utilisés sur ces sites devraient être changés.
Plusieurs sites internet font une liste des sites potentiellement touchés.