Salut,
Celle-là à l'air de piquer un peu et le boulot pour remettre la sécurité d'aplomb va être long.
http://www.pcinpact....tes-ferment.htm
Une faille vieille de deux ans, corrigée hier. De nombreuses distributions touchéesMais le plus inquiétant reste à venir : cette faille existerait en fait depuis décembre 2011, mais c'est avec la mise en ligne d'OpenSSL 1.0.1 que les choses se sont aggravées. C'était en mars 2012, soit il y a plus de deux ans maintenant. La faille n'a finalement été découverte que très récemment par Neel Mehta de Google Security et, c'est seulement hier qu'un correctif a été publié (OpenSSL 1.0.1g), alors qu'une nouvelle bêta pour la 1.0.2 arrivera prochainement.
Problème : il faut que les serveurs se mettent à jour et soient réinitialisés, ce qui peut prendre du temps, car c'est généralement une procédure longue et qui ne se fait pas de manière régulière. Néanmoins, le bruit médiatique généré par cette affaire devrait grandement aider à accélérer les choses. Le site Hearbleed dresse une liste, non exhaustive des distributions touchées :
- Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
- Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
- CentOS 6.5, OpenSSL 1.0.1e-15
- Fedora 18, OpenSSL 1.0.1e-4
- OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
- FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
- NetBSD 5.0.2 (OpenSSL 1.0.1e)
- OpenSUSE 12.2 (OpenSSL 1.0.1c)
"OpenSSL est utilisé par la moitié des sites internet donc la faille est très répandue. Mais des « géants » de l'Internet, seul Yahoo! a été semble-t-il concerné. Apple, Google, Microsoft, Facebook et la majorité des sites d'e-commerce et bancaires ne le sont pas.
Grâce à cette faille, des chercheurs en sécurité informatique ont rapporté avoir donc été capables de récupérer des informations de mots de passe de Yahoo!, qui a précisé mardi avoir pu résoudre le problème. Egalement touché, Tumblr (qui appartient à Yahoo!) a annoncé mardi avoir corrigé le problème, selon le New York Times.
Le site Filippo.io/heartbleed permet de tester si un site est vulnérable ou non."