Heartbleed : la faille dans OpenSSL permet d'accéder à des données sécurisées par TLS/SSL
Le 2014-04-09 20:11:25, par DotNetMatt, Modérateur
Ces dernières heures, vous avez probablement entendu parler de cette faille de sécurité qui attaque en plein cœur la sécurité du Web : Heartbleed ("cœur qui saigne" .
Elle touche OpenSSL et est présente dans la bibliothèque de chiffrement en version 1.0.1 et 1.0.2 bêta. La première étant aujourd'hui largement déployée, la découverte de cette faille a de quoi soulever des inquiétudes. Elle permet en effet à un attaquant d'accéder à des données sécurisées par TLS/SSL directement dans la mémoire du serveur, en récupérant les clefs. Cela aurait également pu impacter les certificats, pourtant réputés comme très sûrs.
Un ingénieur de Google, Adam Langley, qui a participé à la création du correctif, a quelque peu calmé le jeu sur Tweeter en indiquant qu'il n'avait pas réussi à récupérer les clefs, seulement un cookie.
Les géants du Web ont déjà appliqué le correctif, cependant les sites plus modestes ne sont pas encore tous immunisés. Les principaux éditeurs de logiciel font également leur maximum pour pousser le correctif chez leurs clients. Il est possible de vérifier si un site est vulnérable ou non en utilisant le site http://filippo.io/Heartbleed/.
La publication de cette faille de sécurité a eu lieu avant même que le moindre patch ne soit disponible, ce qui a provoqué une réaction très rapide des principaux acteurs du Web.
En attendant, il est recommandé d'être prudent lorsqu'un site utilise une connexion cryptée par SSL/TLS (url commençant par HTTPS). Changer de mot de passe n'est pas une solution, car celui-ci pourrait être récupéré via un site vulnérable lors du changement.
Si votre site est vulnérable, n'attendez pas pour appliquer le patch 1.0.1g sur vos serveurs. Il est disponible ici : http://www.openssl.org/source/
Il faut également déposer de nouvelles clés et renouveler son certificat de sécurité.
Elle touche OpenSSL et est présente dans la bibliothèque de chiffrement en version 1.0.1 et 1.0.2 bêta. La première étant aujourd'hui largement déployée, la découverte de cette faille a de quoi soulever des inquiétudes. Elle permet en effet à un attaquant d'accéder à des données sécurisées par TLS/SSL directement dans la mémoire du serveur, en récupérant les clefs. Cela aurait également pu impacter les certificats, pourtant réputés comme très sûrs.
Un ingénieur de Google, Adam Langley, qui a participé à la création du correctif, a quelque peu calmé le jeu sur Tweeter en indiquant qu'il n'avait pas réussi à récupérer les clefs, seulement un cookie.
Les géants du Web ont déjà appliqué le correctif, cependant les sites plus modestes ne sont pas encore tous immunisés. Les principaux éditeurs de logiciel font également leur maximum pour pousser le correctif chez leurs clients. Il est possible de vérifier si un site est vulnérable ou non en utilisant le site http://filippo.io/Heartbleed/.
La publication de cette faille de sécurité a eu lieu avant même que le moindre patch ne soit disponible, ce qui a provoqué une réaction très rapide des principaux acteurs du Web.
En attendant, il est recommandé d'être prudent lorsqu'un site utilise une connexion cryptée par SSL/TLS (url commençant par HTTPS). Changer de mot de passe n'est pas une solution, car celui-ci pourrait être récupéré via un site vulnérable lors du changement.
Si votre site est vulnérable, n'attendez pas pour appliquer le patch 1.0.1g sur vos serveurs. Il est disponible ici : http://www.openssl.org/source/
Il faut également déposer de nouvelles clés et renouveler son certificat de sécurité.
-
sneb5757Membre actifCa va repartir en débat interminable en libre VS non libre mais il est préférable qu'une faille soit connu par un plus grand nombre et corrigé au plus vite , plutôt que la faille soit connue par seulement une poignée de hacker et exploité sur du plus long terme.
La sécurité par l'obscurité n'est pas ce qu'il y'a de plus efficace.le 10/04/2014 à 13:25 -
TryphMembre éméritec'est "amusant": tu nous expliques depuis le début que l'open-source est incapable de se remettre en question (ça veut pas dire grand chose mais on comprend ce que tu essaies de dire) et à aucun moment tu n'imagines que si les gens te down-votent c'est peut être parce que tu dis n'importe quoi.
non tu préfères croire que c'est parce que tu as découvert "une vérité qui dérange"... et peut être qu'un complôt franc-maçonique chercher à te discréditer..?
tu vois ou je veux en venir...? remise en question... tout ça...
tu te demandes pourquoi des gens te mettent des "moins". alors je vais parler de mon cas:
j'ai déjà lu des masses de messages venant de toi et ça tourne toujours autour du même thême: "l'open-source c'est mal, on peut pas leur faire de procès. Microsoft est une entreprise de dieux vivants". tu dis toujours la même chose, je sais déjà ce que ton message va dire avant de le lire. et une fois arrivé à la fin du message j'ai la déception de me rendre compte que j'ai deviné juste.
je ne veux pas perdre 20 minutes à faire une réponse argumentée que tu ne liras pas, avec des sources que tu ne lira pas non plus. je te mets un "moins", ça va plus vite et c'est pas moins efficace.
j'espère avoir éclairé ta lanterne, mais en même temps, je doute que tu aies lu jusque là...le 14/04/2014 à 15:15 -
NeckaraInactifBonjour,
Tes sources disent pourtant :Cette faille daterait d'il y a deux ans et aurait été découverte la nuit du lundi 7 avril au mardi 8 avril 2014.
Après on ne peut pas corriger des bugs qu'on ne connaît pas et avoir un logiciel avec 0 bugs est impossible. De même ce n'est pas parce qu'un bug existe qu'on est au courant de son existence.le 14/04/2014 à 6:38 -
Pas toujours facile de planifier un donwtime pour patcher le(s) équipement(s) impacté(s)...
En attendant, vous pouvez carrément bloquer le heartbeat du handshake TLS avec la règle iptable suivante :Code : iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP
Stephle 15/04/2014 à 13:55 -
Jimmy_Membre éprouvéIl faut relativiser , l'attaquant ne contrôle pas la zone mémoire qu'il va récupérer,
même s'il peut tenter l'attaque autant de fois qu'il veux, le résultat est aléatoire.le 10/04/2014 à 12:42 -
NeckaraInactifBonjour,
C'est tout de même bizarre que parmi ces personnes qui sont "d'accord avec toi", une seule vote positivement tes messages. le 13/04/2014 à 8:15 -
fredocheMembre extrêmement actifC'est arrivé 3 fois, et des têtes sont surement tombées, mais le Billou a toujours des balloches en Au
Ca s'appelait Code Red, Code Blue et Nimda, la moitié de la planète à ma connaissance, au moins.
Tu ne te rends pas compte de ce que tu dis, tu trolles à donf parce que ça doit correspondre à la barbaque que tu vends.
regarde ici http://en.wikipedia.org/wiki/Timelin...uses_and_worms et compte le nombre de fois ou Windows apparait. Si Microsoft publie des patchs, des correctifs, des services packs tous les jours, c'est un peu parce que c'est truffé de failles en tous genres.
L'histoire des virus, c'est un peu l'histoire des failles de windows.
Et concernant Oracle, Java (version 7 si je ne m'abuse) souffre beaucoup de toutes les failles découvertes ces dernières années. Les plug-ins java sont toujours je crois considérés comme non sûrs par les navigateurs
C'est comme ça, c'est du code informatique. Un code tu peux bien mettre 10 ou 20 ingénieurs dessus, des experts, et ils vont te laisser passer des trucs nuls débiles, parce que le cerveau est comme ça, il ne peut pas en permanence évaluer tous les effets de bords, la complexité de systèmes et d'environnements de plus en plus hétérogènes.
D'ailleurs les tests unitaires servent un peu à ça.
Ouvre un jour le top ten de l'OWASP, tu vas comprendre que l'internet est un gros gruyère à trous.
Brefle 11/04/2014 à 12:30 -
sneb5757Membre actifBon ce débat c'était un peu du vent non ? Tu admets quand même à demi mot que ce soit pour l'open source ou le propriétaire ce qui compte c'est la le processus qualité ( revue du code, phase de test). Aucun rapport avec le type de licence utilisée pour distribuer le logiciel.
Donc tu connais tous les développeur open source ? Des projets OS ouvert au changement et innovant il y'en a pas mal.
Il m'est arrivé de bosser avec des boite de dev logiciel qui faisait du proprio. C'était des gros con qui faisaient de la merde. Je ne réduit pourtant pas tout le monde du proprio à ces mauvaises expériences.le 11/04/2014 à 14:00 -
gangsoleilModérateurSi on t'ecoute, il devrait y avoir beaucoup beaucoup moins de bugs dans les logiciels des grosses entreprises que dans les logiciels Open-Source. Comment expliques-tu les problemes qui existent dans les produits de Microsoft, Apple et Oracle, pour ne prendre que 3 tres grosses entreprises ? Allez, tu peux en changer une pour Google si tu preferes.le 11/04/2014 à 14:55
-
fredocheMembre extrêmement actifPlutôt que de troller on pourrait en tirer des leçons...
Quand tu vois que grosses boites comme Cisco ou Juniper (les coeurs de l'internet) publient des bulletins d'alerte de partout pour patcher leurs produits, que VMware (salut le cloud) est touché sur la moitié de ses produits, que 20% des sites de la planète seraient concernés, il y a là dedans des sociétés et des gens qui gagnent beaucoup d'argent, et c'est en partie grâce au projet OpenSSL.
Peut être que si ce projet était sérieusement financé, pour le bien de leurs propres bénéfices en premier, et celui de tous par la suite, on en serait pas à discuter de ça.
Mais on préfère foutre des milliards dans du bullshit genre whatsapp ou facebook
C'est ça aussi la réalité.
Tout le monde en profite de l'opensource, c'est soit-disant le bug du siècle, et si ça se trouve ils gèrent le projet avec 10 gus entièrement en bénévolat.
Faudrait arrêter de cracher dans la soupe moi je disle 11/04/2014 à 16:01