Cette faille pourrait permettre de passer outre la sécurité d’un serveur, et ce, sans laisser de trace ! Heartbleed révèle le contenu d’un message sécurisé et chiffré comme une transaction par carte de crédit en HTTPS, ainsi que les clés SSL primaire et secondaire elles-mêmes.
Même si un correctif est déjà disponible pour la version 1.0.1g d’OpenSSL, 17,5% des sites qui utilisent le protocole SSL sont potentiellement en danger, soit 500.000 sites environ, selon Netcraft. Les grands noms devraient pousser des versions corrigées d’OpenSSL dans les prochaines heures et en cas de doute, vous pouvez regarder si un site est impacté via cet outil.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
En fait, les grands noms ont déjà mis à jour leur OpenSSL depuis hier. On ne passe pas exactement outre la sécurité du serveur, mais on peut avoir un aperçu du contenu de la mémoire du serveur faisant tourner openssl. Ce qui n’est guère mieux, certes…
Ça ne permet ni de passer outre la sécurité du serveur, ni de révéler le contenu d’un message, ça permet de récupérer du contenu mémoire aléatoire. Alors oui ça peut permettre de récupérer emails, coordonnées bancaires, et même clé SSL, mais faut tomber dessus. C’est un peu la pêche aux infos, sans savoir ce qu’on va trouver dedans, si ça sera complet, etc.
Voir le post du jour sur xkcd concernant heartbleed justement -> xkcd.com
En tout cas il est conseillé de changer tous ses mots de passe …
@Noldarn : oui, après application du patch sur le serveur 😉
@omen77 : off course, mais la plupart des gros (yahoo, twitter etc …) l’ont déjà fait donc c’est le moment … Et c’est l’occase de rappeler aux “gens” qu’un mot de passe, ce n’est pas anodin, ni là juste pour te faire ch… Pas facile à faire comprendre à la plupart qui te diront qu’ils mettent toujours le même (et si possible un truc style ‘azerty’ ou ‘soleil’ ;))