[News] La faille de sécurité "Heartbleed" dans la librairie OpenSSL

Publication · Message par **Publication** » 15/04/2014 - 17:00:07

Récemment, vient d'être découverte une faille de sécurité dans la librairie OpenSSL, un des logiciels de cryptage les plus utilisés dans le monde. Environ 17 % des serveurs web dits sécurisés, ce qui représente un demi-million de serveurs, seraient touchés. Ce trou de sécurité a été baptisé « Heartbleed ». Cette situation rend désormais vulnérables de nombreux sites web et surtout les données des utilisateurs. On peut même dire que c’est l’une des plus grosses menaces ...

ziirish · Message par **ziirish** » 15/04/2014 - 18:03:25

Attention aux erreurs. Le décryptage est le fait de "casser" un chiffrement sans en connaître la clé. Le "cryptage" quant à lui n'est pas synonyme de chiffrement.

Avec le fameux bug Heartbleed il est possible de récupérer la clé de chiffrement via certaines méthodes "simples". Et suite à cette opération de récupération de la clé, on peut être en mesure de déchiffrer une conversation entre le client et le serveur.

En Cryptographie on parle de chiffrement (opération de chiffrer un message avec une clé) et de déchiffrement (opération de déchiffrer un message en connaissant la clé).

Victor · Message par **Victor** » 15/04/2014 - 21:10:19

Y a-t-il un pack de correction et où ?

Alenore · Message par **Alenore** » 15/04/2014 - 22:09:00

Victor a écrit :Y a-t-il un pack de correction et où ?

Le bug affecte majoritairement les serveurs et n'est donc pas quelque chose que les utilisateurs peuvent corriger.
En revanche, si la demande concernait les serveurs, OpenSSL a été mis à jour un jour après la découverte du bug avec un fix. Il suffit aux administrateurs de mettre à jour leur version pour corriger le problème.

OpenSSL est également intégré à plusieurs logiciels, mais très peu sont utilisé en tant que serveur, et il faudrait à un éventuel pirate un accès à l'ordinateur au préalable, et il ne pourrait pirater que les données de ce logiciel en question (voire rien du tout, suivant comme le logiciel utilise OpenSSL).

QJ · Message par QJ » 16/04/2014 - 9:21:41

Précisions puisque je suis dans le métier et que ce bug affecte le planning de mon travail...

C'est une faille de sécurité qui affecte principalement les serveurs.
Et encore, seule une partie de ces serveurs utilisent les versions vulnérables.
Sur cette partie vulnérable, il faut encore déterminer que le service est vulnérable.
Si le travail des informaticiens a été bien fait, c'est pas impossible mais difficile.
Et si le travail des informaticiens a vraiment été fait correctement, voir que le serveur
est vulnérable, a toute les chances de générer une alerte. Êtres discret demande beaucoup de temps
et de gros moyens techniques pour ne pas se faire prendre.

Vos butineurs Internet n'ont donc rien a voir là-dedans.

Seules les versions 1.0.1 (>12/2011) à 1.0.1f (incluse) d'OpenSSL sont vulnérables.

C'est Neel Mehta de Google Security qui a découvert cette faille de sécurité, et, a informé le mainteneur principal d'OpenSSL le 6 avril.
La version corrigée est sortie le 7 avril.

Question : Quel éditeur privé de logiciels peut se targuer de réagir aussi vite ?

cisou9 · Message par **cisou9** » 16/04/2014 - 10:04:21

Effectivement, c'est du rapide !!!