Faille OpenSSL - Heartbleed

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
grimposaure
Messages : 3111
Inscription : 02 sept. 2007 17:31
Localisation : Sur un rocher...

Faille OpenSSL - Heartbleed

par grimposaure »

09/04/2014 à 07:07
Une faille sur le logiciel OpenSSL inquiète les spécialistes informatiques
Une faille, baptisée "heartbleed" ("coeur qui saigne"), afforle les spécialistes informatiques. Elle a été découverte sur le logiciel d'encodage OpenSSL, qui est utilisé notamment pour protéger ses mots de passe et ses numéros de carte bancaire.
"Heartbleed" pourrait bien vous avoir, à défaut de faire "saigner le coeur", comme son nom l'indique, saigner le portefeuille. Cette importante faille a été découverte dans le logiciel d'encodage OpenSSL, utilisé par la moitié des sites internet, et permet aux pirates de pénétrer dans les ordinateurs pour y récupérer codes et mots de passe. Ce logiciel est utilisé par la moitié des sites web, mais la faille, qui serait présente depuis deux ans environ, n'existe pas sur toutes les versions.

Par cette faille, les pirates peuvent récupérer des informations en passant par la mémoire des serveurs de l'ordinateur, selon des spécialistes de la société de sécurité informatique Fox-IT. "Le nombre d'attaques qu'ils peuvent effectuer est sans limite", indique Fox-It dans un billet recensant les procédures à suivre pour repousser les incursions.


Parmi les informations susceptibles d'êtres récupérées par les pirates figurent le code source (instructions pour le microprocesseur), les mots de passe, et les "clés" utilisées pour déverrouiller des données cryptées ou imiter un site. "Ce sont les joyaux de la couronne, les clés d'encodage elles-mêmes", souligne le site heartbleed.com qui détaille les vulnérabilités de la faille. Ces clés "permettent aux pirates de décrypter tous les trafics, passés et à venir, vers les services protégés et d'imiter ces services".

Grâce à cette faille, des chercheurs en sécurité informatique ont rapporté avoir été capables de récupérer des informations de mots de passe de Yahoo!, qui a précisé mardi avoir pu résoudre le problème.

Un billet sur le site TOR Project, qui milite pour l'anonymat en ligne, exhorte ceux qui ont des besoins élevés en matière de protection en ligne d'éviter d'utiliser internet pendant quelques jours, afin de permettre aux sites et aux serveurs d'améliorer leur sécurité.

source : http://actu.orange.fr/une/une-faille-sur-le-logiciel-openssl-inquiete-les-specialistes-informatiques-afp-s_2926560.html
ѠOOT

It's not a bug, it's a feature :þ

par ѠOOT »

Bonjour,

Les inquiétudes et dangers sont réels d'autant que des codes sources ont été très rapidement publiés, on le voit très clairement sur les radars, les tentatives d'exploitations explosent ! Pour les attaquants qui ne connaissaient pas ce "bug", c'est JACKPOT ! Si vous aviez des serveurs vulnérables, la probabilité que vous ayez déjà été troué est élevée. Comme souvent, il y a ceux qui sont déjà piratés et ceux qui ne le savent pas encore. Toujours est-il que c'est une véritable orgie depuis le buzz de la divulgation de ce "bug". Et vous remarquerez que c'est tout de même assez génial le nombre de drôles de bugs aux capacités pour le moins étonnantes. Une claque de plus pour la confiance. Nous lirons prochainement, les pathétiques excuses d'entreprises trouées "... serveurs / clouds en difficultés ... victimes de pirates high-tech ... attaques ultra sophistiquées ... APT/AET ... Et tous les internautes crédules aux pays des bisounours qui juraient par le saint esprit des petits cadenas jaunes, qui prônaient les conseils à base d'HTTPS Everywhere... oh noooo... mes petits secrets, mes informations bancaires, saloperies d'échanges commerciaux via Internet. Et comme dans toutes magnifiques histoires pré-mâchées, on nous présente d'un côté les "gentils chercheurs en sécurité" qui cassent des codes et mettent en évidence des "bugs" qui à peine patchés, le jour suivant, sont exploités par des "enfoirés de méchants pirates affamés". Bref, n'oubliez pas de manger de la soupe car ça fait grandir !

À prendre sur le ton humoristique, merci.

edit: Autour du bug "heartbleed"

Bruce Schneier - ...

(Kaspersky) Kurt Baumgartner - "The problem is insidious," "Now it is amateur hour. Everybody is doing it."

(F-Secure) Mikko Hypponen - "There is nothing users can do to fix their computers" ; "Take care of the passwords that are very important to you" ; "Maybe change them now, maybe change them in a week. If you are worried, check your credit card bills very closely!"

(Accuvant) Mark Maxey - "Due to the complexity and difficulty in upgrading many of the affected systems, this vulnerability will be on the radar for attackers for years to come."

(Defense Net) Barrett Lyon - "There's going to be lots of chaotic mess."

(Google) Dorothy Chou - "We fixed this bug early and Google users do not need to change their passwords."

edit: Google's mobile operating system are vulnerable to attacks that might pluck passwords, the contents of personal messages, and other private information out of device memory...

Vicious Heartbleed bug bites millions of Android phones, other devices - [i]Not the exclusive province of ser ... , too.[/i]

So... Happy Cracking !
Dernière modification par ѠOOT le 15 avr. 2014 20:00, modifié 3 fois.
Malekal_morte
Messages : 110979
Inscription : 10 sept. 2005 13:57

Re: Faille OpenSSL

par Malekal_morte »

<troll illuminati>Voila ce qui arrive quand une vuln utilisée par des services secrets sont découvertes et exploitées par le grand public</troll illuminati>
Bref, n'oubliez pas de manger de la soupe car ça fait grandir !
J'ajoute, n'oubliez pas aussi de manger 5 fruits et légumes.
N'oubliez pas, les seuls gentils, ce sont les modérateurs ;p

~~

Vous pouvez tester des URLs avec ces sites :
https://sslanalyzer.comodoca.com/
http://filippo.io/
http://possible.lv/tools/hb/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 110979
Inscription : 10 sept. 2005 13:57

Re: Faille OpenSSL - Heartbleed

par Malekal_morte »

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
ѠOOT

Re: Faille OpenSSL - Heartbleed

par ѠOOT »

Cette station de radio française propose aux jeunes sa vision "geek" : pédagogique, à découvrir..

Heartbleed: pourquoi a-t-il fallu 2 ans pour trouver ce bug ?
Heartbleed: la faille de sécurité super bien marketée
Malekal_morte
Messages : 110979
Inscription : 10 sept. 2005 13:57

Re: Faille OpenSSL - Heartbleed

par Malekal_morte »

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Revenir à « Actualité & News Informatique »