Aller au contenu


Faille OpenSSL


  • Vous ne pouvez pas répondre à ce sujet
22 replies to this topic

#1 EboO

EboO

    le lavaboO ^^'

  • Modérateur
  • PipPipPipPipPipPipPipPipPip
  • 4 898 Messages :
  • Gender:Male

Posté 09 avril 2014 - 06:24

Salut,

Celle-là à l'air de piquer un peu et le boulot pour remettre la sécurité d'aplomb va être long.

http://www.pcinpact....tes-ferment.htm

 

Une faille vieille de deux ans, corrigée hier. De nombreuses distributions touchées

Mais le plus inquiétant reste à venir : cette faille existerait en fait depuis décembre 2011, mais c'est avec la mise en ligne d'OpenSSL 1.0.1 que les choses se sont aggravées. C'était en mars 2012, soit il y a plus de deux ans maintenant. La faille n'a finalement été découverte que très récemment par Neel Mehta de Google Security et, c'est seulement hier qu'un correctif a été publié (OpenSSL 1.0.1g), alors qu'une nouvelle bêta pour la 1.0.2 arrivera prochainement.

 

Problème : il faut que les serveurs se mettent à jour et soient réinitialisés, ce qui peut prendre du temps, car c'est généralement une procédure longue et qui ne se fait pas de manière régulière. Néanmoins, le bruit médiatique généré par cette affaire devrait grandement aider à accélérer les choses. Le site Hearbleed dresse une liste, non exhaustive des distributions touchées : 

  • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
  • FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

 

"OpenSSL est utilisé par la moitié des sites internet donc la faille est très répandue. Mais des « géants » de l'Internet, seul Yahoo! a été semble-t-il concerné. Apple, Google, Microsoft, Facebook et la majorité des sites d'e-commerce et bancaires ne le sont pas.

Grâce à cette faille, des chercheurs en sécurité informatique ont rapporté avoir donc été capables de récupérer des informations de mots de passe de Yahoo!, qui a précisé mardi avoir pu résoudre le problème. Egalement touché, Tumblr (qui appartient à Yahoo!) a annoncé mardi avoir corrigé le problème, selon le New York Times.

Le site Filippo.io/heartbleed permet de tester si un site est vulnérable ou non."


"Il ne faut pas compter sur ceux qui créent les problèmes pour les résoudre". Albert Einstein
"La nature ne fait rien en vain, et le plus est vain quand le moins suffit". Isaac Newton


#2 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 10 avril 2014 - 16:44

Bonjour EboO :)

 

Il y'a un site permettant de savoir, si ceux que tu visites lors de ta navigation sont, "clean" ou encore affecté par le bug:

 

http://filippo.io/Heartbleed/

 

;)

 

Vigen.


Ce message a été modifié par vigen - 10 avril 2014 - 16:44 .


#3 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 10 avril 2014 - 16:53

Voilà qui peut en partie expliquer que yahoo ait été une vraie passoire ces derniers mois.



#4 Neuromancien

Neuromancien

    Octozimien

  • Modérateur
  • PipPipPipPipPipPipPipPipPip
  • 6 551 Messages :
  • Gender:Male
  • Location:Moselle

Posté 10 avril 2014 - 17:27

Bonjour EboO :)

 

Il y'a un site permettant de savoir, si ceux que tu visites lors de ta navigation sont, "clean" ou encore affecté par le bug:

 

http://filippo.io/Heartbleed/

 

;)

 

Vigen.

 

Déjà dit:

 

 

S

Le site Filippo.io/heartbleed permet de tester si un site est vulnérable ou non."

 

 

 

https://www.schneier...heartbleed.html


"Nous sommes des nains juchés sur des épaules de géants. Nous voyons ainsi davantage et plus loin qu'eux, non parce que notre vue est plus aiguë ou notre taille plus haute, mais parce qu'ils nous portent en l'air et nous élèvent de toute leur hauteur gigantesque." (Bernard de Chartres, XIIe siècle)


#5 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 10 avril 2014 - 18:30

:transpi:



#6 David de Bitdefender

David de Bitdefender

    Touriste Martien

  • Eminence Verte
  • PipPipPipPipPip
  • 220 Messages :
  • Gender:Male

Posté 11 avril 2014 - 14:16

Bonjour à tous, voici plus d'infos sur cette faille : http://www.bitdefend...asse--1436.html ;)

 

On a fait le point pour les utilisateurs.



#7 EboO

EboO

    le lavaboO ^^'

  • Modérateur
  • PipPipPipPipPipPipPipPipPip
  • 4 898 Messages :
  • Gender:Male

Posté 11 avril 2014 - 19:20

Merci Neuro, j'ai été léger sur ce coup.

Apparemment ce serait moins grave que prévu :
http://www.mac4ever....=88811&app=true


La déferlante « Heartbleed » a pris de panique tout le web cette semaine, d'autant que les risques semblaient presque illimitées. Après plusieurs jours de recherche, les experts tempèrent un peu les plus alarmistes : il semblerait qu'il soit finalement impossible de récupérer une clef privée, contrairement à ce qui avait été affirmé au début. Plusieurs firmes expertes en sécurité ont mis leurs meilleurs ingénieurs sur le coup et aucun n'est parvenu à récupérer ce bout de code, qui ouvrirait toutes les portes de vos données personnelles. Cela ne veut pas dire qu'il y a plus aucun risque (le faille reste relativement grave à l'échelle du web), mais si « Heartbleed » est effectivement incapable de récupérer ce type d'information, les dégats potentiels apparaissent tout de suite plus modérés pour nous autres, utilisateurs lambdas. En attendant une ultime confirmation, CloudFlare a mis au défi quiconque de récupérer les clefs privées situées sur ce serveur en utilisant heartbleed. Si vous ne savez pas quoi faire ce week-end... [Via]

"Il ne faut pas compter sur ceux qui créent les problèmes pour les résoudre". Albert Einstein
"La nature ne fait rien en vain, et le plus est vain quand le moins suffit". Isaac Newton


#8 Neuromancien

Neuromancien

    Octozimien

  • Modérateur
  • PipPipPipPipPipPipPipPipPip
  • 6 551 Messages :
  • Gender:Male
  • Location:Moselle

Posté 11 avril 2014 - 21:19

Heartbleed: La NSA savait depuis au moins deux ans et n'a fait que de l'exploiter: http://www.techdirt....hemselves.shtml

Merci à Sebsauvage.

Une explication simple du bug en image. https://xkcd.com/1354/


"Nous sommes des nains juchés sur des épaules de géants. Nous voyons ainsi davantage et plus loin qu'eux, non parce que notre vue est plus aiguë ou notre taille plus haute, mais parce qu'ils nous portent en l'air et nous élèvent de toute leur hauteur gigantesque." (Bernard de Chartres, XIIe siècle)


#9 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 11 avril 2014 - 21:35

Deux très bons liens, merci beaucoup.



#10 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 12 avril 2014 - 00:45

..

 

Le programmeur qui a introduit par inadvertance le bug Heartbleed dans l'Internet à ​​la Saint-Sylvestre 2011 estime que le fait d'avoir finalement été repéré prouve la valeur de l'open source.

Heartbleed coder admits 'oversight' but backs open source (Rich Trenholm .. C/Net .. 11 avril 2014)

Peut-être, mais un peu tard, non ?

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#11 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 12 avril 2014 - 06:54

Il se fout de la gueule du monde ce connard.



#12 EboO

EboO

    le lavaboO ^^'

  • Modérateur
  • PipPipPipPipPipPipPipPipPip
  • 4 898 Messages :
  • Gender:Male

Posté 12 avril 2014 - 07:17

Il n'est jamais trop tard :D

"Il ne faut pas compter sur ceux qui créent les problèmes pour les résoudre". Albert Einstein
"La nature ne fait rien en vain, et le plus est vain quand le moins suffit". Isaac Newton


#13 brandodu31

brandodu31

    15+15+1

  • Zimien
  • PipPipPipPipPipPipPipPip
  • 1 911 Messages :
  • Gender:Male

Posté 14 avril 2014 - 20:27

c était pas perdu pour tout le monde !

 

http://pro.clubic.co...tion-obama.html



#14 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 15 avril 2014 - 00:23

Il se fout de la gueule du monde ce connard.

Pas tout à fait mais quasiment pareil. Il a suivi à la lettre les préconisations de son manuel de politique politicienne . :lolbad:

 

....    ....    ....    ....    ....    ....    ....    ....   ....    ....    ....    ....   ....    ....    ....    ....  

 

 

m_19350.png

 

Just do it !

 

@+
 


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#15 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 16 avril 2014 - 07:46

..

 

Les premiers piratages liés à la faille de sécurité Heartbleed sont confirmés. Au Canada, les numéros d’assurance sociale de 900 contribuables ont été dérobés. Au Royaume-Uni, le site spécialisé Mumsnet alerte ses 1,5 million de membres. En France, les banques tentent de rassurer, sans vraiment convaincre.

 

La faille Heartbleed fait ses premières victimes, dont le fisc canadien (Ariane Beky .. Silicon.fr .. 15 avril 2014)

 

« En France, le système bancaire et financier ne serait pas touché, alors qu’en Suisse plus d’une quarantaine de banques ont déclaré l’être. C’est pour le moins surprenant »

Une nouvelle manifestation du syndrome du nuage de Tchernobyl ?

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#16 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 16 avril 2014 - 07:51

Un problème, dans cette histoire, c'est le mot 'faille" employé pour décrire ce qui s'est passé.

 

 

Faille ...

 

 

Ah bah le moins qu'on puisse dire, c'est que cela ne renseigne pas trop sur son origine.

 

 

Derrière faille, que faut-il lire ?


..

 

Les premiers piratages liés à la faille de sécurité Heartbleed sont confirmés. Au Canada, les numéros d’assurance sociale de 900 contribuables ont été dérobés. Au Royaume-Uni, le site spécialisé Mumsnet alerte ses 1,5 million de membres. En France, les banques tentent de rassurer, sans vraiment convaincre.

 

La faille Heartbleed fait ses premières victimes, dont le fisc canadien (Ariane Beky .. Silicon.fr .. 15 avril 2014)

 

« En France, le système bancaire et financier ne serait pas touché, alors qu’en Suisse plus d’une quarantaine de banques ont déclaré l’être. C’est pour le moins surprenant »

Une nouvelle manifestation du syndrome du nuage de Tchernobyl ?

 

@+

 

 

Très bonne question.

 

 

Syndrome bien français, ça,

 

 

pire que l'autruche, le mensonge et le déni.

 

Et au passage, pour celui qui voudrait s'informer, l'humiliation d'être encore pris pour un con.



#17 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 16 avril 2014 - 09:10

Je les verrais bien demandé une aide de l'Etat pour "mettre a jour" leurs parcs...Cela coute tellement cher...:transpi:



#18 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 17 avril 2014 - 15:36

..

 

Y aurait-il le feu au lac ? La CNIL s'en mêle ..

 

Faille de sécurité Heartbleed : comment réagir ? (CNIL .. 16 avril 2014)

 

 
Que faut-il faire ?

L’article 34 de la loi Informatique et Libertés impose au responsable de traitement de prendre les mesures nécessaires pour sécuriser les données à caractère personnel.

Le responsable de traitement doit se tenir informé et réagir lorsqu’une faille d’une telle ampleur est découverte. Ne pas corriger une faille de sécurité connue et pour laquelle des correctifs sont proposés est susceptible de constituer un manquement à l’obligation de sécurisation imposée aux responsables de traitement.

Tout responsable de traitement mettant en œuvre une version vulnérable d’OpenSSL doit donc :

  1. mettre à jour les serveurs vulnérables, afin de ne plus utiliser de version affectée par la faille ;
  2. révoquer les clés et certificats utilisés ;
  3. renouveler les clés et mettre à jour les certificats correspondants ;
  4. conseiller aux utilisateurs de renouveler leurs moyens d’authentification, notamment leurs mots de passe.

Attention : le renouvellement des mots de passe des utilisateurs n’est pertinent qu’après la mise en conformité des serveurs. En effet, tout mot de passe renouvelé avant la mise en conformité encourt lui-même un risque de compromission.

La CNIL vérifiera les mises à jour et correctifs de sécurité dans le cadre des contrôles qu’elle opère régulièrement auprès des responsables de traitement. Elle sera en mesure de procéder à  une série de contrôles visant spécifiquement les sites les plus exposés qui ne se seraient pas mis en conformité.

 

 

 
Heartbleed et après ?

Afin de limiter au maximum l’impact de telles failles de sécurité, les organismes doivent pratiquer une veille active de la sécurité des protocoles, systèmes d’exploitation et logiciels qu’ils utilisent. A titre d’exemple, le site du CERTA recense les principales vulnérabilités et propose des recommandations.

Afin d’aider les responsables de traitements à mettre en place les mesures nécessaires à la protection de la vie privée dans leurs traitements, la CNIL a publié un guide en juillet 2012 proposant un catalogue de bonnes pratiques de sécurité.  Ce guide propose en particulier des mesures à mettre en œuvre pour gérer les violations de données à caractère personnel, superviser la protection de la vie privée ou réduire les vulnérabilités des logiciels.

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#19 Neuromancien

Neuromancien

    Octozimien

  • Modérateur
  • PipPipPipPipPipPipPipPipPip
  • 6 551 Messages :
  • Gender:Male
  • Location:Moselle

Posté 22 avril 2014 - 18:40

Salut!

 

OpenBSD a réagit à sa manière: Ils ont forké OpenSSL et  nettoyé la librairie de fond en comble pour repartir sur une base saine.

https://linuxfr.org/...-futur-libressl

 


"Nous sommes des nains juchés sur des épaules de géants. Nous voyons ainsi davantage et plus loin qu'eux, non parce que notre vue est plus aiguë ou notre taille plus haute, mais parce qu'ils nous portent en l'air et nous élèvent de toute leur hauteur gigantesque." (Bernard de Chartres, XIIe siècle)


#20 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 22 avril 2014 - 19:53

Salut!

 

OpenBSD a réagit à sa manière: Ils ont forké OpenSSL et  nettoyé la librairie de fond en comble pour repartir sur une base saine.

https://linuxfr.org/...-futur-libressl

 

Mwouais...Cela fait réfléchir quand même...A la conception même du Web...



#21 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 23 avril 2014 - 06:23

Pas une mauvaise nouvelle, ça :)



#22 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 03 mai 2014 - 10:06

A tous les utilisateurs de Kaspersky Internet Security/Antivirus 2014, le patch G est déployé.

 

Il comble la faille OpenSSL Heartbleed vulnerability....

 

http://support.kaspe...om/10235#block0

 

Vérifiez si vous possédez déjà le patch, sinon faites une mise a jour manuelle.

 

:chinois:


Ce message a été modifié par vigen - 03 mai 2014 - 10:07 .


#23 Darksky

Darksky

    Martien

  • Eminence Verte
  • PipPipPipPipPipPipPipPip
  • 1 212 Messages :
  • Gender:Male
  • Location:Belgique

Posté 03 mai 2014 - 10:08

Merci Vigen ;)

 

En ordre pour ma part depuis quelques jours déjà :)


"Ils ne savaient pas que c'était impossible, alors ils l'ont fait."

Mark Twain




0 utilisateur(s) en train de lire ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)