Symantec revient sur cette faille, via une infographie, qui présente un danger immédiat pour les serveurs non patchés. La faille permet aux attaquants d’intercepter des communications sécurisées et de voler des informations sensibles telles que des identifiants de connexion, des données personnelles ou des clés de décryptage. Heartbleed affecte un composant de Open SSL (Heartbeat), l’une des implémentations les plus utilisées des protocoles SSL (Secure Sockets Layer) et TLS (Transport Layer Security). Heartbeat est une extension du protocole TLS qui permet à une session TLS de rester active, même si aucune communication réelle n’a lieu pendant un certain temps. Cette fonction vérifie que deux ordinateurs sont toujours connectés et disponibles pour des communications. Pour l’utilisateur, cela lui permet de ne pas avoir à ressaisir ses identifiants pour établir une autre connexion sécurisée si celle d’origine est supprimée.
Heartbleed est sans conteste la vulnérabilité SSL/TLS la plus sérieuse jamais découverte. Etant donné la nature du bug et le fait qu’il affecte l’une des implémentations SSL/TLS les plus utilisées, le risque est aujourd’hui immédiat.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Peut-être que c’était une erreur volontaire et que le programmeur qui a fait ça était corrompu par la CIA ou la NSA.
Henri256, je suis pas sûr que la NSA soit intéressée par un récupération de données aléatoire. Ne t’en fait pas pour eux, ils ont surement des moyens d’accès bien plus efficace XD
j’ai entendu qu’il fallait changer le MDP sur les sites concerné, mais si on change de msp et que la faille n’est pas comblée ça ne sert a rien
SSL v3 n’est pas touché, c’est juste TLS qui est vulnérable.
Heartbleed est un module de l’implémentation TLS/DTLS de la libraire OpenSSL.
http://www.heartbleed.com
L’attaque est quasi invisible et surtout reproductible a l’infini, donc même si tu récupères que 62ko de donnée en mémoire, en la répétant tu peux facilement intercepter des données sensibles
Sur les vpn, tor compris, ça pose un sacré problème 🙁
La faille de sécurité était corrigée le soir même de la découverte
mon hébergeur a mis en place un test de vulnérabilité HTTP ici : http://neo.icodia.com/fr/solutions/tests/heartbleed.html
Mes serveurs sont OK. Ouf ! Merci l’infogérance 😉