INTERNET Un probleme i  propos des protocoles utilises Afin de abriter le trafic fut corrige en urgence, mais la mise a jour devra encore etre deployee partout.

INTERNET Un probleme i  propos des protocoles utilises Afin de abriter le trafic fut corrige en urgence, mais la mise a jour devra encore etre deployee partout.

Alors que un chacun avait les yeux tournes par Windows XP, l’apocalypse a bien failli venir de la technologie bien moins connue du grand public: OpenSSL, un protocole largement utilise en ligne Afin de crypter le trafic Web. Mais si le pire fut evite, la prudence demeure de mise.

OpenSSL, c’est quoi?

Vous voyez votre petit cadenas, accompagne de «https», a gauche de la adresse Web, entre autres concernant Yahoo.fr? Ca signifie que le trafic echange entre votre PC et le serveur est crypte, en particulier pour couvrir des informations confidentielles comme un mot de passe ou un numero de carte bancaire. OpenSSL est une technologie open source utilisee via de multiples sites Afin de implementer des deux protocoles de cryptage les plus communs, SSL et TLS.

Qu’est-ce qui saigne?

Le bug a ete baptise «heartbleed» (c?ur qui saigne) via ceux qui l’ont decouvert, des chercheurs finlandais de Codenomicon et une equipe de Google Security. Cela s’agit tout d’un defaut de conception qui permet a une personne tierce de recuperer des informations. A la base, la requete «heartbeat» verifie que la connexion avec 1 serveur est encore active, comme une sorte de «ping». Mais en ajoutant des parametres, i  la place de repondre un simple «pong», le serveur crache des donnees stockees au sein d’ sa memoire vive: login, mot de passe, numero de carte bleue etc. Pire, les cles de cryptage utilisees par le site ont la possibilite de meme etre obtenues. Selon l’expert Bruce Schneier, la faille reste «catastrophique».

Combien de sites paraissent concernes?

Beaucoup. Suivant les experts, environ deux tiers des serveurs Web utilisent OpenSSL, notamment ceux sous Apache ou Nginx. Notre faille ne concerne malgre tout qu’une version recente, de 2011. Selon Netcraft, bien un demi-million de sites seront touches. Cela parait que Google, Facebook, Microsoft, Twitter, Amazon ou Dropbox n’aient nullement ete concernes (ou qu’ils aient bouche la faille avant l’annonce publique). Mes sites de Yahoo, Imgur, OkCupid, KickAss Torrent et du FBI, en revanche, etaient vulnerables.

Le souci corrige, la mise a jour en cours de deploiement

Mes chercheurs ont travaille avec OpenSSL, ainsi, un patch a ete deploye lundi soir. Les administrateurs Web doivent mettre a jour leur serveur a Notre derniere version (OpenSSL 1.0.1g). Divers www.besthookupwebsites.org/fr/sparky-review/ geants du Net, comme les aiguilleurs de trafic Akamai et CloudFlare, ont visiblement ete prevenus en avance et l’ont deja fera. D’autres, comme Yahoo, l’ont decouvert mardi matin et ont update leurs systemes en urgence.

Potentiellement, 1 probleme de long terme

Depuis deux problemes. D’abord, on ne sait nullement si la faille fut exploitee avant qu’elle ne soit rendue publique. Surtout, un blog n’a aucun moyen de savoir si ses serveurs ont «saigne» des informations par le passe. Selon l’expert en securite Michael Kreps, si des hackers ont reussi a derober des cles de cryptage, ils pourront les choisir prochainement. Pour proteger ses utilisateurs, un blog devra deposer de nouvelles cles et renouveler le certificat de securite, ce qui coute souvent de l’argent.

Que faire Afin de l’utilisateur?

Pas grand chose. Le reseau TOR, qui permet de surfer anonymement, conseille a ses utilisateurs «de ne pas utiliser Internet pendant plusieurs jours», moyen que le patch soit applique partout. Cet outil permet d’essayer si un blog est vulnerable, mais il ne roule pas Afin de tous. En cas de resultat positif, il ne faut surtout gui?re rentrer ses precisions de connexion. Cela reste enfin probable que en prochains temps, des geants comme Yahoo conseillent de reinitialiser son mot de passe. Selon certains experts, mieux vaut tarder 48h, afin de ne point rentrer un nouveau commentaire de passe concernant un site encore non patche.

Leave a Comment

Your email address will not be published. Required fields are marked *