La faille dangereuse pour le commerce électronique

OpenSSL est un projet collaboratif du même type que le navigateur Firefox. Le code source est accessible à toute entreprise, et plus particulièrement à celles qui font du commerce électronique. Ce logiciel sécurise les transactions électroniques au moyen d’outils de cryptage très sophistiqués.

Lorsque vous achetez des articles dans un catalogue sur le Web, il y a 80 % de possibilité que le paiement soit effectué au moyen d’OpenSSL. L’ARC l’utilise pour la transmission des déclarations de revenus.

Le projet a commencé en 1998. Il comptait 12 individus, dont 11 bénévoles. Leur budget annuel, inférieur à 1 M$ US, provenait entièrement de dons. Le logiciel est gratuit et toute firme admissible peut en obtenir le code source. Cette façon de faire était inattaquable en soi…

OpenSSL est rapidement devenu la norme en matière de sécurité en commerce électronique.

Comme la serrure de votre porte d’entrée vous protège, vous et vos biens, OpenSSL protège votre identité, vos numéros de carte de crédit, de comptes bancaires et votre NAS lors de vos transactions électroniques.

Or, la complexité des protocoles de cryptage rend de telles failles inévitables.

Retour sur un «coeur saignant»

Supposons que les deux fabricants de serrures les plus importants du Québec annoncent que depuis deux semaines, ils ont vendu par erreur plus d’un million de clés passe-partout au Québec.

Ces clés passe-partout pourraient ouvrir n’importe laquelle de leurs serrures. Vous sentiriez-vous encore en sûreté si votre porte était équipée d’une serrure provenant d’un de ces fabricants ?

Heartbleed est une faille de la même envergure en ce qui a trait au commerce électronique. Elle existerait depuis deux ans et permettait aux cybercriminels d’accéder aux renseignements confidentiels stockés sur certains sites qui utilisent OpenSSL. Elle a été découverte par hasard par un spécialiste de Yahoo.

Quels cybercriminels ont exploité cette faille ? Quels sites sécurisés, soit ceux sur lesquels figure un petit cadenas fermé, ont été visités ? Impossible de le savoir.

Tout comme l’intrusion dans votre domicile au moyen d’un passe-partout ne laisse aucune empreinte sur la serrure, la faille d’OpenSSL ne laisse pas de trace. Peut-être qu’aucun cybercriminel ne l’avait découverte !

Précautions personnelles à prendre

Étant donné la popularité d’OpenSSL et le fait que la faille existe depuis environ deux ans, environ 80 % des sites transactionnels ont été potentiellement visités.

Sites non touchés : Selon l’Association des banquiers canadiens (ABC), aucun site transactionnel des grandes banques canadiennes n’a été touché.

Donc, si votre banque vous envoie un courriel pour vous en informer, méfiez-vous, car il y a là un risque d’hameçonnage ! Les banques ne communiquent jamais avec leurs clients par courriel, elles placent des avis à l’entrée de leur site transactionnel.

Sites qui conservent vos numéros de cartes de crédit et de comptes de banque : Hydro-Québec, Telus, Rogers, Paypall, etc. : il est impératif de modifier vos mots de passe sur tous les sites de ce genre, si ce n’est déjà fait.

Modifiez aussi vos accès à vos logiciels Web professionnels tels Kronos, REPman, Plan Plus, etc.

C’est un travail monstrueux, j’en conviens ! Mais qui veut risquer son identité et l’accès à son argent, et à ceux de ses clients ?

Surveillance de votre argent : même si la faille Heartbleed a été réparée et que tous les utilisateurs d’OpenSSL ont installé la nouvelle version, lorsque vous lirez ces lignes, vérifiez quasi quotidiennement les transactions effectuées sur vos cartes de crédit et comptes de banque.

Précautions envers vos clients

La faille Heartbleed nous donne une importante leçon en matière de sécurité des données.

Lors de certaines transactions, avez-vous besoin de conserver plusieurs renseignements confidentiels sur vos clients comme le NAS, les numéros d’assurance maladie, de passeport, de permis de conduire, de cartes de crédit et de comptes bancaires ?

Je vous suggère de les conserver dans un logiciel comme eWallet, dans un fichier Excel que vous ferez crypter sur votre disque dur ou sur une feuille de papier que vous scannerez et crypterez sur votre disque dur. Tout un travail en perspective !

Dans les faits, personne n’a paniqué. On sait que de telles situations peuvent se produire de temps à autre dans un monde où la sécurité des données devient de plus en plus complexe.

Attention à la léthargie qui vous mène à minimiser les risques de cybersécurité sur vos affaires. Faites-vous l’autruche avec la sécurité des données ?

laroseg@maisondigilor.ca