Au moment où la faille de sécurité Heartbleed était rendue publique, 615 268 systèmes étaient infectés d’après Robert Graham d’Errata Security.
Un mois près, tous les sites d’envergure et tous les hébergeurs installaient les correctifs de sécurité, et le nombre de systèmes infectés était divisé par deux à 318 239.
Deux mois et demi après, il y en avait 309 197, soit seulement 3 % de moins.
Notons que ces chiffres sont très conservateurs, car ils ne sont que le fruit d’un scan sur le port 443. En sondant aussi d’autres ports utilisant SSL, on découvrirait surement d’autres serveurs infectés.
Pourtant, de nombreux efforts ont été effectués par l’industrie.
La Core Infrastructure Initiative garantissait un financement à l’équipe responsable de l’OpenSSL.
Et pour le meilleur ou pour le pire, Google créait sa propre variante, Boring SSL.
Il ne devrait plus y avoir de progrès significatif. Les nombreux sites trop petits pour être au courant de la faille ou la corriger, ne la corrigeront probablement jamais.
Les risques pour l’utilisateur restent donc élevé.
Pour les mitiger, il n’y a pas de solutions miracles, mais il est fortement recommandé d’utiliser des mots de passe aléatoires.
Et surtout, d’utiliser des mots de passe différents pour chaque site.