INTERNET Un probleme sur les protocoles utilises Afin de abriter le trafic a ete corrige en urgence, mais la mise a jour doit bien etre deployee partout. – A To Z Blogging

INTERNET Un probleme sur les protocoles utilises Afin de abriter le trafic a ete corrige en urgence, mais la mise a jour doit bien etre deployee partout.

INTERNET Un probleme sur les protocoles utilises Afin de abriter le trafic a ete corrige en urgence, mais la mise a jour doit bien etre deployee partout.

Alors que un chacun avait les yeux tournes par Windows XP, l’apocalypse a bien failli venir d’une technologie beaucoup moins connue du grand public: OpenSSL, un protocole largement utilise sur internet pour crypter le trafic Web. Mais si le pire a ete evite, la prudence est de mise.

OpenSSL, c’est quoi?

Vous voyez ce petit cadenas, accompagne de «https», a gauche de la adresse Web, entre autres concernant Yahoo.fr? Ca signifie que le trafic echange entre votre PC et le serveur est crypte, notamment pour abriter des renseignements confidentielles comme un mot de passe ou un numero de carte bancaire. OpenSSL est une technologie open source utilisee par de nombreux sites pour implementer nos deux protocoles de cryptage des plus communs, SSL et TLS.

Qu’est-ce qui saigne?

Le bug a ete baptise «heartbleed» (c?ur qui saigne) par ceux qui l’ont decouvert, des chercheurs finlandais de Codenomicon et une equipe de Google Security. Cela s’agit d’un defaut de conception qui permet a une personne tierce de recuperer des donnees. A sa base, la requete «heartbeat» verifie que J’ai connexion avec 1 serveur est encore active, comme une sorte de «ping». Mais en ajoutant des parametres, au lieu de repondre un simple «pong», le serveur crache des precisions stockees dans sa memoire vive: login, mot de passe, numero de carte bleue etc. Pire, les cles de cryptage utilisees par la page pourront meme etre obtenues. Selon l’expert Bruce Schneier, la faille est «catastrophique».

Combien de sites seront concernes?

Beaucoup. Par rapport aux experts, environ deux tiers des serveurs Web utilisent OpenSSL, surtout ceux sous Apache ou Nginx. Notre faille ne concerne malgre tout qu’une version recente, de 2011. Selon Netcraft, bien un demi-million de sites sont touches. Il parai®t que Google, Facebook, Microsoft, Twitter, Amazon ou Dropbox n’aient jamais ete concernes (ou qu’ils aient bouche la faille avant l’annonce publique). Mes sites de Yahoo, Imgur, OkCupid, KickAss Torrent et du FBI, en revanche, etaient vulnerables.

Le probleme corrige, la mise a jour en cours de deploiement

Les chercheurs ont travaille avec OpenSSL, ainsi, un patch a ete deploye lundi soir. Les administrateurs Web doivent mettre a jour leur serveur a Notre derniere version (OpenSSL 1.0.1g). Divers geants du Net, comme les aiguilleurs de trafic Akamai et CloudFlare, ont visiblement ete prevenus en avance et l’ont deja fait. D’autres, comme Yahoo, l’ont decouvert mardi matin et ont update leurs systemes en urgence.

Potentiellement, un probleme de long terme

On voit deux problemes. D’abord, on ne sait nullement si la faille fut exploitee avant qu’elle ne soit rendue publique. Surtout, un site n’a aucun moyen de savoir si ses serveurs ont «saigne» des precisions par le passe. Selon l’expert en securite Michael Kreps, si des hackers ont reussi a derober des cles de cryptage, ils pourront les utiliser plus tard. Pour abriter ses utilisateurs, un site doit deposer de nouvelles cles et renouveler le certificat de securite, ce qui coute souvent de l’argent.

Que Realiser Afin de l’utilisateur?

Manque grand chose. Le reseau TOR, qui permet de surfer anonymement, conseille a ses utilisateurs «de ne point se servir de Internet pendant des jours», le temps que le patch soit applique partout. Cet outil permet de tester si un site reste vulnerable, mais il ne marche jamais Afin de l’ensemble de. En cas de resultat positif tinder, il ne faudrait surtout jamais rentrer ses renseignements de connexion. Il semble enfin probable que en prochains temps, des geants comme Yahoo conseillent de reinitialiser son mot de passe. Selon certains experts, mieux vaut recevoir 48h, afin de ne pas rentrer votre nouveau mot de marche dans un blog i  nouveau non patche.

Leave a Comment