Index du Forum
S’enregistrerRechercherMembresGroupesConnexion
« Heartbleed »

 
Répondre au sujet     Index du Forum » Espace détente » Sujet précédent
Sujet suivant
« Heartbleed »
Auteur Message
starplatinium
Invités

Hors ligne

Inscrit le: 28 Mar 2012
Messages: 1 045
Localisation: nice
Masculin
DISPONIBILITE: ACTIF
PSN 1: starplatinium
PSN 2: C2G_star_du06

Message « Heartbleed » Répondre en citant
Une importante faille de sécurité a été découverte, mardi 8 avril, dans un dispositif de protection des données échangées sur Internet utilisé par un nombre très important de sites et de services dans le monde. Elle permet, dans certaines conditions, de récupérer codes et mots de passe.
La faille, découverte au sein du logiciel OpenSSL, a été baptisée « Heartbleed » (« cœur qui saigne ») en référence au mode de fonctionnement du logiciel. Ce dernier est chargé de mettre en œuvre un moyen de protection utilisé quotidiennement par des centaines de millions d'internautes, les protocoles TLS/SSL.
Ces derniers, malgré leur appelation obscure, sont fondamentaux. Ils permettent à votre navigateur Internet d'authentifier la page sur laquelle vous vous connectez, mais surtout de camoufler mots de passe, codes de cartes bancaires et plus généralement toutes les données que vous échangez avec ce site. C'est cette technologie qui est symbolisée par l'affichage de la fameuse icône en forme de cadenas dans la barre de navigation. Outre les sites Web, cette technologie est également utilisée par de nombreux services sur Internet (messageries, applications...).
OpenSSL, installé sur le serveur du site auquel l'internaute se connecte, est un logiciel chargé de mettre en œuvre cette protection. Il s'agit d'un des outils favoris des sites Web : selon le site américain The Verge, deux serveurs sur trois pourraient être concernés. Si la faille ne touche pas toutes les versions du logiciel, elle est vieille d'environ deux ans.
Oui. Cette faille permet à d'éventuels pirates de récupérer des informations stockées sur la mémoire des serveurs du site vulnérable. Des informations personnelles censées être inaccessibles et protégées : plusieurs experts sont aisément parvenus à retrouver des mots de passe d'utilisateurs de sites vulnérables.
« Le nombre d'attaques qu'ils peuvent effectuer est sans limite »indique Fox-IT, entreprise spécialisée dans la sécurité informatique. Mais s'il s'agit d'une faille majeure, ses contours précis et sa portée réelle sont encore flous.
Enfin, il est envisageable que les certificats, sorte de clé de voûte de la sécurisation des données par TLS/SSL, censés être privés et très protégés, aient été rendus accessibles par la faille. Ce qui signifie que même lorsque la faille d'OpenSSL sera corrigée et la nouvelle version appliquée aux sites vulnérables, des assaillants qui ont préalablement intercepté la clé nécessaire au déchiffrement des données protégées seront encore en mesure d'y accéder.
« Ce sont les joyaux de la couronne, les clés de chiffrement elles-mêmes », souligne le site Heartbleed.com. Ces clés « permettent aux pirates de déchiffrertous les trafics, passés et à venir, vers les services protégés et d'imiter ces services ».
Il est également possible que les « cookies », ces fichiers qui stockent vos identifiants sur un site afin de vous identifier, soient également accessibles, ce qui permet potentiellement à un assaillant de se connecter en votre nom au site en question.
Adam Langley, un informaticien de Google qui a participé à la correction de la faille, est cependant plus mesuré, et explique n'avoir pu accéder lors de ses tests qu'à des informations très parcellaires.
OpenSSL étant utilisé par un très grand nombre de sites et de services, la faille est très répandue. Cette faille, très importante, a mobilisé d'importantes ressources au sein des grandes entreprises, et nombre d'entre elles ont déployé des correctifs assez rapidement. Des « géants » de l'Internet, seul Yahoo! a été semble-t-il concerné (la faille y a été, depuis, corrigée).
Apple, Google, Microsoft et la majorité des sites d'e-commerce et bancaires ne le sont pas – il existe plusieurs manières d'implémenter OpenSSL, ainsi que des systèmes alternatifs, et toutes les versions ne sont pas touchées.
Selon le site Mashable« Facebook et Twitter utilisent OpenSSL sur certains de leurs serveurs mais il n'est pas encore établi s'ils sont vulnérables ou pas ». « Facebook a effectué une mise à jour de sécurité, tout comme Google », précise le site. Le réseau social ainsi que Yahoo! ont recommandé à leurs utilisateurs dechanger leurs mots de passe, écrit le Washington Post.
Mais de plus petits sites, traitant des données confidentielles, peuvent mettredavantage de temps à être protégés. Par ailleurs, il faut noter que certains sites, pourtant vulnérables, ne traitent pas d'informations sensibles.


Dim 27 Avr - 18:37 (2014)
Publicité






Message Publicité
PublicitéSupprimer les publicités ?

Dim 27 Avr - 18:37 (2014)
Toy_K
Leader

Hors ligne

Inscrit le: 17 Aoû 2013
Messages: 4 354
Localisation: Tolosa
Masculin
DISPONIBILITE: ACTIF
PSN 1: C2G_Toy_K
PSN 2: ToyKaMisaKI

Message « Heartbleed » Répondre en citant





















Dim 27 Avr - 19:22 (2014)
SLEO
Invité

Hors ligne




Message « Heartbleed » Répondre en citant



Lun 28 Avr - 09:45 (2014)
MATHEOUS
Grand Sage

Hors ligne

Inscrit le: 25 Mar 2012
Messages: 2 467
Localisation: Toulouse
Masculin
DISPONIBILITE: ACTIF
PSN 1: C2G_Matheous
PSN 2: matheous1664

Message « Heartbleed » Répondre en citant





















Mar 29 Avr - 10:06 (2014)
Faflosss
Invités

Hors ligne

Inscrit le: 27 Déc 2013
Messages: 397
Localisation: Antony
Masculin
DISPONIBILITE: ACTIF
PSN 1: Faflosss

Message « Heartbleed » Répondre en citant
oh oups


Jeu 1 Mai - 11:51 (2014)
Contenu Sponsorisé






Message « Heartbleed »

Aujourd’hui à 14:06 (2018)
Montrer les messages depuis:    
Répondre au sujet     Index du Forum » Espace détente » Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1

 
Sauter vers: 

Index | Panneau d’administration | créer un forum gratuit | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation

Design by Toy_K, Speed & Midjih