INTERNET Un probleme sur les protocoles utilises Afin de abriter le trafic a ete corrige en urgence, mais la mise a jour devra i  nouveau etre deployee partout.

INTERNET Un probleme sur les protocoles utilises Afin de abriter le trafic a ete corrige en urgence, mais la mise a jour devra i  nouveau etre deployee partout.

Alors que individu avait le regard tournes par Windows XP, l’apocalypse a bien failli venir de la technologie beaucoup moins connue du grand public: OpenSSL, 1 protocole largement utilise web Afin de crypter le trafic Web. Mais si le pire fut evite, la prudence reste de mise.

OpenSSL, c’est quoi?

Vous voyez ce petit cadenas, accompagne de «https», a gauche d’une adresse Web, entre autres via Yahoo.fr? Cela signifie que le trafic echange entre votre PC et le serveur reste crypte, principalement Afin de couvrir des renseignements confidentielles comme un mot de passe ou un numero de carte bancaire. OpenSSL reste une technologie open source utilisee par de multiples sites pour implementer nos deux protocoles de cryptage nos plus communs, SSL et TLS.

Qu’est-ce qui saigne?

Notre bug fut baptise «heartbleed» (c?ur qui saigne) via ceux qui l’ont trouve, des chercheurs finlandais de Codenomicon et une equipe de Google Security. Il s’agit tout d’un defaut de conception qui permet a une personne tierce de denicher des precisions. A sa base, la requete «heartbeat» verifie que J’ai connexion avec 1 serveur sera alors active, comme une sorte de «ping». Mais en ajoutant des parametres, au lieu de repondre un simple «pong», le serveur crache des precisions stockees dans sa memoire vive: login, mot de passe, numero de carte bleue etc. Pire, les cles de cryptage employees par le blog vont pouvoir meme etre obtenues. Selon l’expert Bruce Schneier, la faille est «catastrophique».

Combien de sites sont concernes?

Beaucoup. Suivant les experts, plus de deux tiers des serveurs Web utilisent OpenSSL, en particulier ceux sous Apache ou Nginx. J’ai faille ne concerne cependant qu’une version recente, de 2011. Selon Netcraft, au moins un demi-million de blogs paraissent touches. Il semble que Google, Facebook, Microsoft, Twitter, Amazon ou Dropbox n’aient pas ete concernes (ou qu’ils aient bouche la faille avant l’annonce publique). Les sites de Yahoo, Imgur, OkCupid, KickAss Torrent et du FBI, en revanche, etaient vulnerables.

Le souci corrige, la mise a jour en cours de deploiement

Les chercheurs ont travaille avec OpenSSL, ainsi, un patch fut deploye lundi jour. Mes administrateurs Web doivent mettre a jour un serveur a la derniere version (OpenSSL 1.0.1g). Certains geants du Net, comme les aiguilleurs de trafic Akamai et CloudFlare, ont visiblement ete prevenus en avance et l’ont deja fera. D’autres, comme Yahoo, l’ont decouvert jeudi matin et ont update leurs systemes en urgence.

Potentiellement, un probleme de long terme

Il existe deux problemes. D’abord, on ne sait pas si la faille fut exploitee avant qu’elle ne soit rendue publique. Surtout, un blog n’a aucun moyen de savoir si ses serveurs ont «saigne» des donnees par le passe. Selon l’expert en securite Michael Kreps, si des hackers ont reussi a derober des cles de cryptage, ils pourront les choisir prochainement. Pour abriter ses utilisateurs, un blog doit deposer de nouvelles cles et renouveler le certificat de securite, ce qui https://besthookupwebsites.org/fr/vgl-review/ coute souvent de l’argent.

Que Realiser pour l’utilisateur?

Pas grand chose. Le reseau TOR, qui permet de surfer anonymement, conseille a ses utilisateurs «de ne point se servir de Internet pendant deux jours», le temps que le patch soit applique partout. Cet outil va permettre de tester si un site reste vulnerable, mais il ne roule pas pour tous. En cas de resultat positif, il ne faudrait surtout nullement rentrer ses renseignements de connexion. Il est enfin probable que au sein des prochains journees, des geants comme Yahoo conseillent de reinitialiser le mot de passe. Selon plusieurs experts, plus coi»te tarder 48h, Dans l’optique de ne pas rentrer un nouveau mot de passe sur un site encore non patche.

Join The Discussion