!!! Heartbleed !!!

Tout ce qui ne rentre pas dans les autres catégories.

!!! Heartbleed !!!

Messagede aazerty » Mer 9 Avr 2014 19:35

Bonjour ,

Que sait-on de « Heartbleed », l'inquiétante faille de sécurité sur Internet ?
=====
Une importante faille de sécurité a été découverte, mardi 8 avril,
dans un dispositif de protection des données échangées sur Internet utilisé par un nombre très important de sites
et de services dans le monde. Elle permet, dans certaines conditions, de récupérer codes et mots de passe.

Où se situe cette faille ?

La faille, découverte au sein du logiciel OpenSSL, (https://www.openssl.org/news/secadv_20140407.txt)
a été baptisée « Heartbleed » (« cœur qui saigne ») en référence au mode de fonctionnement du logiciel.
Ce dernier est chargé de mettre en œuvre un moyen de protection utilisé quotidiennement
par des centaines de millions d'internautes, les protocoles TLS/SSL.

Ces derniers, malgré leur appelation obscure, sont fondamentaux.
Ils permettent à votre navigateur Internet d'authentifier la page sur laquelle vous vous connectez,
mais surtout de camoufler mots de passe, codes de cartes bancaires
et plus généralement toutes les données que vous échangez avec ce site.
C'est cette technologie qui est symbolisée par l'affichage de la fameuse icône en forme de cadenas
dans la barre de navigation.
Outre les sites Web, cette technologie est également utilisée par de nombreux services sur Internet
(messageries, applications...).

OpenSSL, installé sur le serveur du site auquel l'internaute se connecte,
est un logiciel chargé de mettre en œuvre cette protection.
Il s'agit d'un des outils favoris des sites Web : selon le site américain The Verge,
(http://theverge.com/2014/4/8/5594266/ho ... e-internet)
deux serveurs sur trois pourraient être concernés.
Si la faille ne touche pas toutes les versions du logiciel, elle est vieille d'environ deux ans.

Est-ce que c'est grave ?

Oui. Cette faille permet à d'éventuels pirates de récupérer des informations
stockées sur la mémoire des serveurs du site vulnérable.
Des informations personnelles censées être inaccessibles et protégées :
plusieurs experts sont aisément parvenus à retrouver des mots de passe d'utilisateurs de sites vulnérables.

« Le nombre d'attaques qu'ils peuvent effectuer est sans limite », indique Fox-IT,
entreprise spécialisée dans la sécurité informatique.
Mais s'il s'agit d'une faille majeure, ses contours précis et sa portée réelle sont encore flous.

Enfin, il est envisageable que les certificats, sorte de clé de voûte de la sécurisation des données par TLS/SSL,
censés être privés et très protégés, aient été rendus accessibles par la faille.
Ce qui signifie que même lorsque la faille d'OpenSSL sera corrigée
et la nouvelle version appliquée aux sites vulnérables,
des assaillants qui ont préalablement intercepté la clé nécessaire au déchiffrement des données protégées
seront encore en mesure d'y accéder.

« Ce sont les joyaux de la couronne, les clés de chiffrement elles-mêmes », souligne le site Heartbleed.com.
Ces clés « permettent aux pirates de déchiffrer tous les trafics, passés et à venir,
vers les services protégés et d'imiter ces services ».

Il est également possible que les « cookies »,
ces fichiers qui stockent vos identifiants sur un site afin de vous identifier, soient également accessibles,
ce qui permet potentiellement à un assaillant de se connecter en votre nom au site en question.

Adam Langley, un informaticien de Google qui a participé à la correction de la faille,
est cependant plus mesuré, et explique n'avoir pu accéder lors de ses tests qu'à des informations très parcellaires.


Quels sites sont touchés ?

OpenSSL étant utilisé par un très grand nombre de sites et de services, la faille est très répandue.
Cette faille, très importante, a mobilisé d'importantes ressources au sein des grandes entreprises,
et nombre d'entre elles ont déployé des correctifs assez rapidement.
Des « géants » de l'Internet, seul Yahoo! a été semble-t-il concerné (la faille y a été, depuis, corrigée).

Apple, Google, Microsoft, Facebook et la majorité des sites d'e-commerce et bancaires ne le sont pas
– il existe plusieurs manières d'implémenter OpenSSL, ainsi que des systèmes alternatifs,
et toutes les versions ne sont pas touchées.

Mais de plus petits sites, traitant des données confidentielles, peuvent mettre davantage de temps à être protégés.
Par ailleurs, il faut noter que certains sites, pourtant vulnérables, ne traitent pas d'informations sensibles.


Que faire ?

Dans un monde idéal, il faudrait éviter les activités sensibles (courriels, banque, achats...)
sur Internet pendant quelques temps. C'est ce que recommande par exemple un billet publié sur le site de Tor,
un système d'anonymisation sur Internet. (https://blog.torproject.org/blog/openss ... -2014-0160)

Dans un premier temps, pour les utilisateurs lambda, changer de mot de passe est inutile,
et peut même être contre-productif.
En effet, si la faille d'OpenSSL n'est pas corrigée sur le site,
le nouveau mot de passe pourra être visible à son tour.
Il faut donc, avant tout, attendre que les responsables des sites vulnérables
mettent à jour leurs dispositifs de sécurité.
Puis, pour l'utilisateur, relancer le site ou le service pour que ces nouvelles protections s'appliquent.

Il est conseillé de surveiller, dans les prochains jours,
les annonces des sites que vous utilisez afin de s'assurer qu'ils prennent les mesures nécessaires.
En cas de doute, le site Filippo.io/Heartbleed permet de tester si un site est vulnérable ou non.
(http://filippo.io/Heartbleed/)
En revanche, certaines mesures nécessaires ne sont pas détectées par ce site,
comme le renouvellements des certificats ou des mots de passe des administrateurs.

Enfin, soyez particulièrement vigileants quant aux courriels que vous recevrez dans les prochains jours.
Certains adeptes du phishing (vous faire croire que vous allez sur le site de votre banque,
par exemple, alors qu'il s'agit d'un site pirate), pourrait utiliser certaines des données interceptées pour vous cibler.

Article tiré de : http://www.lemonde.fr/technologies/arti ... 51865.html
Lire les réactions en bas de la page ...

A+ .
!!! DUBITATIF !!!
Avatar de l’utilisateur
aazerty
 
Messages: 2086
Inscription: Sam 10 Déc 2011 14:41

Retourner vers Divers

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 12 invités

cron