Quoi faire quand on est pas sur Linux ou OS X?
...
Changer ses mots de passes, regénérer ses clés et certificats que l'on considère importants, une fois leurs domaines d'utilisation sécures.
À moins que je ne me trompe, il n'y a pas beaucoup d'usagers moyens qui s'authentifient à un site Web en utilisant un certificat SSL/TLS ou qui en possèdent un. Ce conseil s'applique donc plus ou moins à eux (à mon humble avis).
Cependant, les sites auxquels ils se connectent s'authentifient à eux en montrant des certificats, et le fureteur vérifient ceux-ci pour s'assurer de leur validité. Le problème, c'est que même si l'usager moyen peut vérifier que le site qu'il visite ne souffre pas du problème, il lui sera difficile de vérifier si ce site a été vulnérable dans le passé, et dans un tel cas, si les certificats originaux du site ont été révoqués et que de nouveaux ont été générés.
***
Le bon côté de l'affaire si on veut être optimiste et/ou charitable, c'est que la faille a été découverte non pas parce que des sites se sont effectivement fait hacker (cela resterait à prouver), mais suite à une inspection du code source.
Je me demande si je devrais me pincer le nez et visiter un certain recoin nauséabond de la carnetosphère québécoise, histoire de voir si un vieil ami (!?) fera mention de cette vulnérabilité. S'il écrit quelque chose à ce sujet, je serais surpris que ce soit pour faire autre chose qu'affirmer que cette faille prouve que le logiciel libre ne vaut rien et prétendre qu'il est impossible de sécuriser un logiciel dont le fonctionnement interne peut être examiné par n'importe qui. Bien sûr, la réponse à ceux qui seraient tentés d'utiliser un tel argumentaire est la suivante: c'est le fait que le code de source est disponible qui nous a permis de découvrir ce problème.