Le bogue Heartbleed est l’un des plus gros problèmes de sécurité connus par Internet. La société de recherche sur Internet Netcraft estime que 500 000 sites Web pourraient être touchés. Puisque les pirates peuvent exploiter Heartbleed pour voler des données d'utilisateur (la police canadienne a arrêté hier un homme qui l'aurait utilisé pour voler des données d'utilisateur sur le site Web du gouvernement consacré aux impôts), les utilisateurs ont été invités à changer leurs mots de passe pour les sites affectés. Toutefois, il ne sert à rien de changer votre mot de passe pour un site tant que le site n'a pas été corrigé.

Comment savoir si un site est toujours en danger? Vous pouvez vérifier un site vous-même en branchant son URL dans un outil de LastPass ou Qualys, ou consulter notre liste des 100 meilleurs sites pour voir ceux qui ont été corrigés. Quelle que soit la méthode choisie, vous devez toutefois lancer la vérification. Un moyen plus simple consiste à installer Chromebleed, une extension Chrome exécutée en arrière-plan et affichant un avertissement lorsque vous visitez un site vulnérable pour Heartbleed, ne nécessitant aucun effort supplémentaire de votre part après un simple clic pour l'installer.

Chromebleed a été développé par un programmeur italien, Filippo Valsorda, qui possède ici son propre vérificateur de site Heartbleed.

Lorsque vous installez l'extension, un petit bouton avec l'icône Heartbleed est ajouté à droite de la barre d'URL de Chrome. Lorsque vous visitez un site vulnérable, un avertissement s'affiche:

Par défaut, Chromebleed ne fait rien pour les sites qui ont été corrigés contre Heartbleed. En cliquant avec le bouton droit sur le bouton Chromebleed et en sélectionnant Options, vous pouvez cocher une case pour afficher toutes les notifications. Lorsque ce paramètre est activé, vous recevrez une alerte pour chaque site que vous visitez, qu'il soit bon ou mauvais. Voici un exemple de bonne notification:

D'après mon expérience (sur un Mac), les alertes de Chromebleed ont dû être fermées manuellement. Je vous déconseille donc d'activer toutes les notifications. La plupart des sites que j'ai visités ont été mis à jour et les notifications de Chromebleed sont rapidement devenues accablantes.

Chromebleed a récemment été mis à jour vers la version 2.0, qui ajoute l'icône Heartbleed aux résultats de recherche Google lorsqu'un site répertorié est toujours affecté par Heartbleed. Malgré la recherche de sites vulnérables, je n'ai vu aucune icône Heartbleed dans les résultats de recherche Google.

Néanmoins, l'objectif principal de Chromebleed de m'avertir des sites vulnérables me permet de me sentir en sécurité en ligne à la suite de Heartbleed.

Pour en savoir plus sur le virus Heartbleed, je vous renvoie à notre page FAQ Heartbleed.