Heartbleed : la faille dans OpenSSL permet d'accéder à des données sécurisées par TLS/SSL

Le , par DotNetMatt

21PARTAGES

12  0 
Ces dernières heures, vous avez probablement entendu parler de cette faille de sécurité qui attaque en plein cœur la sécurité du Web : Heartbleed ("cœur qui saigne".


Elle touche OpenSSL et est présente dans la bibliothèque de chiffrement en version 1.0.1 et 1.0.2 bêta. La première étant aujourd'hui largement déployée, la découverte de cette faille a de quoi soulever des inquiétudes. Elle permet en effet à un attaquant d'accéder à des données sécurisées par TLS/SSL directement dans la mémoire du serveur, en récupérant les clefs. Cela aurait également pu impacter les certificats, pourtant réputés comme très sûrs.

Un ingénieur de Google, Adam Langley, qui a participé à la création du correctif, a quelque peu calmé le jeu sur Tweeter en indiquant qu'il n'avait pas réussi à récupérer les clefs, seulement un cookie.

Les géants du Web ont déjà appliqué le correctif, cependant les sites plus modestes ne sont pas encore tous immunisés. Les principaux éditeurs de logiciel font également leur maximum pour pousser le correctif chez leurs clients. Il est possible de vérifier si un site est vulnérable ou non en utilisant le site http://filippo.io/Heartbleed/.

La publication de cette faille de sécurité a eu lieu avant même que le moindre patch ne soit disponible, ce qui a provoqué une réaction très rapide des principaux acteurs du Web.

En attendant, il est recommandé d'être prudent lorsqu'un site utilise une connexion cryptée par SSL/TLS (url commençant par HTTPS). Changer de mot de passe n'est pas une solution, car celui-ci pourrait être récupéré via un site vulnérable lors du changement.

Si votre site est vulnérable, n'attendez pas pour appliquer le patch 1.0.1g sur vos serveurs. Il est disponible ici : http://www.openssl.org/source/
Il faut également déposer de nouvelles clés et renouveler son certificat de sécurité.

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de sneb5757
Membre actif https://www.developpez.com
Le 10/04/2014 à 13:25
Ca va repartir en débat interminable en libre VS non libre mais il est préférable qu'une faille soit connu par un plus grand nombre et corrigé au plus vite , plutôt que la faille soit connue par seulement une poignée de hacker et exploité sur du plus long terme.

La sécurité par l'obscurité n'est pas ce qu'il y'a de plus efficace.
12  2 
Avatar de Tryph
Membre émérite https://www.developpez.com
Le 14/04/2014 à 15:15
Citation Envoyé par GTSLASH Voir le message
enfin -50. Il vous en a fallu du temps

J'ai touche une corde sensible apparemment. Et pourtant les faits son la il n'y a même pas a discuter.
c'est "amusant": tu nous expliques depuis le début que l'open-source est incapable de se remettre en question (ça veut pas dire grand chose mais on comprend ce que tu essaies de dire) et à aucun moment tu n'imagines que si les gens te down-votent c'est peut être parce que tu dis n'importe quoi.

non tu préfères croire que c'est parce que tu as découvert "une vérité qui dérange"... et peut être qu'un complôt franc-maçonique chercher à te discréditer..?

tu vois ou je veux en venir...? remise en question... tout ça...

tu te demandes pourquoi des gens te mettent des "moins". alors je vais parler de mon cas:
j'ai déjà lu des masses de messages venant de toi et ça tourne toujours autour du même thême: "l'open-source c'est mal, on peut pas leur faire de procès. Microsoft est une entreprise de dieux vivants". tu dis toujours la même chose, je sais déjà ce que ton message va dire avant de le lire. et une fois arrivé à la fin du message j'ai la déception de me rendre compte que j'ai deviné juste.
je ne veux pas perdre 20 minutes à faire une réponse argumentée que tu ne liras pas, avec des sources que tu ne lira pas non plus. je te mets un "moins", ça va plus vite et c'est pas moins efficace.
j'espère avoir éclairé ta lanterne, mais en même temps, je doute que tu aies lu jusque là...
10  1 
Avatar de Neckara
Expert éminent sénior https://www.developpez.com
Le 14/04/2014 à 6:38
Bonjour,

Tes sources disent pourtant :

Cette faille daterait d'il y a deux ans et aurait été découverte la nuit du lundi 7 avril au mardi 8 avril 2014.
Donc à partir de la découverte de la faille à sa correction, tout a été très réactif.

Après on ne peut pas corriger des bugs qu'on ne connaît pas et avoir un logiciel avec 0 bugs est impossible. De même ce n'est pas parce qu'un bug existe qu'on est au courant de son existence.
8  0 
Avatar de
https://www.developpez.com
Le 15/04/2014 à 13:55
Pas toujours facile de planifier un donwtime pour patcher le(s) équipement(s) impacté(s)...

En attendant, vous pouvez carrément bloquer le heartbeat du handshake TLS avec la règle iptable suivante :

Code : Sélectionner tout
iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP
Il faudra bien sûr adapter le --dport si ce n'est pas de l'https et vérifier qu'il n'y a pas d'impact fonctionnel sur votre appli... A tester donc évidemment avant toute mise en prod...

Steph
7  0 
Avatar de Jimmy_
Membre éprouvé https://www.developpez.com
Le 10/04/2014 à 12:42
Il faut relativiser , l'attaquant ne contrôle pas la zone mémoire qu'il va récupérer,
même s'il peut tenter l'attaque autant de fois qu'il veux, le résultat est aléatoire.
6  0 
Avatar de Neckara
Expert éminent sénior https://www.developpez.com
Le 13/04/2014 à 8:15
Bonjour,

Citation Envoyé par GTSLASH Voir le message
J'ai reçu plusieurs messages prive ici sur ce forum me disant que beaucoup étaient d'accord avec moi mais qu'il ne disait rien car c'est apparemment un sujet sensible ici.
C'est tout de même bizarre que parmi ces personnes qui sont "d'accord avec toi", une seule vote positivement tes messages .
7  1 
Avatar de fredoche
Membre expert https://www.developpez.com
Le 11/04/2014 à 12:30
Citation Envoyé par GTSLASH Voir le message
oui je suis tout a fait d'accord. Et je pense que c'est également pour ca que par exemple Microsoft se tourne de plus en plus vers l'OS. Chaque cerveau est bon a prendre. Surtout quand c'est gratuit. MAIS c'est validé par après par Microsoft et ils engage leur responsabilités et leur nom.

Si une erreur si grave arrivait 3 fois chez Microsoft ce serai fini pour eux car la confience n'y serait plus pour personne. Et la je parle de Microsoft pas d'une petite boite national. Ca arrive a une boite si petite elle serait direct finie.

Que ce soit libre ou pas le développement doit être bien organisé. Et la il y a eu un gros problème dans celui de OpenSSL. Ca aurait du etre decouvert plus tot. Il y a des outils pour ca et des test unitaire et ous le reste.

Quel est la conséquence pour le(s) développeur(s) d'OpenSSL ? aucunes c'est gratuit.Ils n'ont de compte a rendre a personne car par définition c'est libre.

Si ca arrive chez Microsoft ou Oracle les investisseurs vont leur tomber dessus et des tetes vont tombées. C'est le principe de la responsabilités. Et dans l'OS personne n'est vraiment responsable car il n'y a pas d'argent derriere.

Et puis les faits sont la. La plus grosse faille de la decenie a ete provoquee par de l'OS. Et quand je discute avec mes clients eux ca les interesse et le prenne en compte
C'est arrivé 3 fois, et des têtes sont surement tombées, mais le Billou a toujours des balloches en Au

Ca s'appelait Code Red, Code Blue et Nimda, la moitié de la planète à ma connaissance, au moins.

Tu ne te rends pas compte de ce que tu dis, tu trolles à donf parce que ça doit correspondre à la barbaque que tu vends.

regarde ici http://en.wikipedia.org/wiki/Timelin...uses_and_worms et compte le nombre de fois ou Windows apparait. Si Microsoft publie des patchs, des correctifs, des services packs tous les jours, c'est un peu parce que c'est truffé de failles en tous genres.

L'histoire des virus, c'est un peu l'histoire des failles de windows.

Et concernant Oracle, Java (version 7 si je ne m'abuse) souffre beaucoup de toutes les failles découvertes ces dernières années. Les plug-ins java sont toujours je crois considérés comme non sûrs par les navigateurs

C'est comme ça, c'est du code informatique. Un code tu peux bien mettre 10 ou 20 ingénieurs dessus, des experts, et ils vont te laisser passer des trucs nuls débiles, parce que le cerveau est comme ça, il ne peut pas en permanence évaluer tous les effets de bords, la complexité de systèmes et d'environnements de plus en plus hétérogènes.
D'ailleurs les tests unitaires servent un peu à ça.

Ouvre un jour le top ten de l'OWASP, tu vas comprendre que l'internet est un gros gruyère à trous.

Bref
5  0 
Avatar de sneb5757
Membre actif https://www.developpez.com
Le 11/04/2014 à 14:00
Bon ce débat c'était un peu du vent non ? Tu admets quand même à demi mot que ce soit pour l'open source ou le propriétaire ce qui compte c'est la le processus qualité ( revue du code, phase de test). Aucun rapport avec le type de licence utilisée pour distribuer le logiciel.

Citation Envoyé par GTSLASH Voir le message
.

Et connaissant les développeurs OpenSource et leur 'fiertés' fermée au changement, ils ne sont pas près de se remettre en question et c'est vraiment dommage pour tous le monde. Car l'OS peut apporter de tres bonne choses (j'ai jamais dis le contraire d’ailleurs)


Donc tu connais tous les développeur open source ? Des projets OS ouvert au changement et innovant il y'en a pas mal.

Il m'est arrivé de bosser avec des boite de dev logiciel qui faisait du proprio. C'était des gros con qui faisaient de la merde. Je ne réduit pourtant pas tout le monde du proprio à ces mauvaises expériences.
5  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 11/04/2014 à 14:55
Citation Envoyé par GTSLASH Voir le message
Mais ils engageraient leur réputation sur la qualité du code. Et une réputation vaut tres cher et ils aurait donc tout intérêt a vérifier le code et a y mettre les moyen que l'OS n'a pas forcement.
Si on t'ecoute, il devrait y avoir beaucoup beaucoup moins de bugs dans les logiciels des grosses entreprises que dans les logiciels Open-Source. Comment expliques-tu les problemes qui existent dans les produits de Microsoft, Apple et Oracle, pour ne prendre que 3 tres grosses entreprises ? Allez, tu peux en changer une pour Google si tu preferes.
6  1 
Avatar de fredoche
Membre expert https://www.developpez.com
Le 11/04/2014 à 16:01
Plutôt que de troller on pourrait en tirer des leçons...

Quand tu vois que grosses boites comme Cisco ou Juniper (les coeurs de l'internet) publient des bulletins d'alerte de partout pour patcher leurs produits, que VMware (salut le cloud) est touché sur la moitié de ses produits, que 20% des sites de la planète seraient concernés, il y a là dedans des sociétés et des gens qui gagnent beaucoup d'argent, et c'est en partie grâce au projet OpenSSL.

Peut être que si ce projet était sérieusement financé, pour le bien de leurs propres bénéfices en premier, et celui de tous par la suite, on en serait pas à discuter de ça.

Mais on préfère foutre des milliards dans du bullshit genre whatsapp ou facebook

C'est ça aussi la réalité.

Tout le monde en profite de l'opensource, c'est soit-disant le bug du siècle, et si ça se trouve ils gèrent le projet avec 10 gus entièrement en bénévolat.
Faudrait arrêter de cracher dans la soupe moi je dis
6  1 
Nginx est maintenant le serveur web le plus utilisé par les sites les plus fréquentés au monde
Typo et design pour écran de collectif, un livre de Laurence Seguin, critique de David Bleuse
Contacter le responsable de la rubrique Apache

Partenaire : Hébergement Web