Une faille de sécurité nommée « Heartbleed » a été découverte au sein du logiciel OpenSSL. Cette technologie est utilisée par de nombreux sites Web, messageries et applications. Elle permet notamment aux navigateurs d'authentifier la page sur laquelle l'internaute se connecte et de camoufler les mots de passe, codes de carte bancaires et plus généralement toutes les données échangées avec cette page. L'exploitation de cette vulnérabilité peut compromettre la confidentialité des communications et des données d’authentification.
La Commission nationale recommande aux professionnels concernés l’installation du patch proposé par Open SSL. Toutefois, l’application de ce patch ne permet pas de résoudre une potentielle violation de la confidentialité des communications antérieure à la mise à jour. A cet effet, la mise en oeuvre des mesures suivantes s’impose:
- Génération de nouvelles paires de clé privée/publique
- Mise à jour des certificats SSL
- Changement des mots de passes / information d’authentification
A côté de l'application des mesures décrites ci-dessus, la Commission nationale recommande par ailleurs aux professionnels affectés de demander aux utilisateurs de leurs systèmes (employés et clients) de changer leur mot de passe, et le cas échéant, de leur renouveler leur information d’authentification.
La CNPD recommande aux utilisateurs particuliers d’être vigilant dans les prochains jours quant aux courriels qui leurs sont destinés. En effet, la situation actuelle est propice à des tentatives de phishing (hameçonnage), dans lesquelles il leur est demandé de changer leur mot de passe et où ils sont incités à se connecter sur des faux sites (par exemple, on les fait croire qu'ils accèdent au site de leur banque mais il s’agit d’un site pirate). En cas de doute, la CNPD recommande de contacter par téléphone la société qui leur aurait envoyé le courriel pour demander la confirmation de l’authenticité de la communication.