INTERNET Un probleme sur les protocoles utilises pour proteger le trafic a ete corrige en urgence, mais la mise a jour doit encore etre deployee partout.

INTERNET Un probleme sur les protocoles utilises pour proteger le trafic a ete corrige en urgence, mais la mise a jour doit encore etre deployee partout.

Alors que l’univers avait le regard tournes par Windows XP, l’apocalypse a bien failli venir de la technologie bien moins connue du grand public: OpenSSL, votre protocole largement utilise Sur les forums pour crypter le trafic Web. Mais si le pire fut evite, la prudence est de mise.

OpenSSL, c’est quoi?

Vous voyez ce petit cadenas, accompagne de «https», a gauche de la adresse Web, comme dans Yahoo.fr? Ca signifie que le trafic echange entre votre PC et le serveur est crypte, notamment pour abriter des precisions confidentielles comme un mot de passe ou un numero de carte bancaire. OpenSSL est une technologie open source utilisee avec quantite de sites pour implementer les deux protocoles de cryptage les plus communs, SSL et TLS.

Qu’est-ce qui saigne?

Notre bug fut baptise «heartbleed» (c?ur qui saigne) via ceux qui l’ont decouvert, des chercheurs finlandais de Codenomicon et une equipe de Google Security. Cela s’agit d’un defaut de conception qui permet a un individu tierce de recuperer des informations. A la base, la requete «heartbeat» verifie que J’ai connexion avec votre serveur est encore active, comme une sorte de «ping». Mais en ajoutant des parametres, a la place de repondre un simple «pong», le serveur crache des informations stockees au sein d’ sa memoire vive: login, mot de passe, numero de carte bleue etc. Pire, les cles de cryptage employees par le site peuvent meme etre obtenues. Selon l’expert Bruce Schneier, la faille est «catastrophique».

Combien de blogs sont concernes?

Beaucoup. Suivant les http://besthookupwebsites.org/fr/seniorfriendfinder-review experts, plus de deux tiers des serveurs Web utilisent OpenSSL, en particulier ceux sous Apache ou Nginx. Notre faille ne concerne cependant qu’une version recente, de 2011. Selon Netcraft, bien un demi-million de sites paraissent touches. Cela parai®t que Google, Facebook, Microsoft, Twitter, Amazon ou Dropbox n’aient nullement ete concernes (ou qu’ils aient bouche la faille avant l’annonce publique). Mes sites de Yahoo, Imgur, OkCupid, KickAss Torrent et du FBI, en revanche, etaient vulnerables.

Le probleme corrige, la mise a jour en cours de deploiement

Mes chercheurs ont travaille avec OpenSSL, et un patch fut deploye lundi soir. Mes administrateurs Web doivent mettre a jour un serveur a J’ai derniere version (OpenSSL 1.0.1g). Plusieurs geants du Net, comme les aiguilleurs de trafic Akamai et CloudFlare, ont i  priori ete prevenus en avance et l’ont deja fera. D’autres, comme Yahoo, l’ont decouvert jeudi matin et ont update leurs systemes en urgence.

Potentiellement, un probleme de long terme

Il y a 2 problemes. D’abord, on ne sait nullement si la faille fut exploitee avant qu’elle ne soit rendue publique. Surtout, un blog n’a aucun moyen de savoir si ses serveurs ont «saigne» des donnees par le passe. Selon l’expert en marketing Michael Kreps, si des hackers ont reussi a derober des cles de cryptage, ils pourront nos se servir de prochainement. Pour couvrir ses utilisateurs, un blog devra deposer de nouvelles cles et renouveler le certificat de securite, cela coute souvent de l’argent.

Que Realiser pour l’utilisateur?

Pas grand chose. Le reseau TOR, qui permet de surfer anonymement, conseille a ses utilisateurs «de ne point se servir de Internet pendant des jours», le temps que le patch soit applique partout. Cet outil va permettre de tester si un site est vulnerable, mais il ne roule jamais Afin de tous. En cas de resultat positif, il ne faudrait surtout nullement rentrer ses renseignements de connexion. Il est enfin probable que dans les prochains journees, des geants comme Yahoo conseillent de reinitialiser le mot de passe. Selon Divers experts, mieux vaut tarder 48h, Dans l’optique de ne point rentrer votre nouveau commentaire de passe via un site encore non patche.

Leave a Reply