IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Faille Heartbleed - OpenSSL

  1. #1
    Modérateur
    Avatar de DotNetMatt
    Homme Profil pro
    CTO
    Inscrit en
    Février 2010
    Messages
    3 611
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : CTO
    Secteur : Finance

    Informations forums :
    Inscription : Février 2010
    Messages : 3 611
    Points : 9 743
    Points
    9 743
    Billets dans le blog
    3
    Par défaut Faille Heartbleed - OpenSSL
    Ces dernières heures, vous avez probablement entendu parler de cette faille de sécurité qui attaque en plein cœur la sécurité du Web : Heartbleed ("cœur qui saigne").


    Elle touche OpenSSL et est présente dans la bibliothèque de chiffrement en version 1.0.1 et 1.0.2 bêta. La première étant aujourd'hui largement déployée, la découverte de cette faille a de quoi soulever des inquiétudes. Elle permet en effet à un attaquant d'accéder à des données sécurisées par TLS/SSL directement dans la mémoire du serveur, en récupérant les clefs. Cela aurait également pu impacter les certificats, pourtant réputés comme très sûrs.

    Un ingénieur de Google, Adam Langley, qui a participé à la création du correctif, a quelque peu calmé le jeu sur Tweeter en indiquant qu'il n'avait pas réussi à récupérer les clefs, seulement un cookie.

    Les géants du Web ont déjà appliqué le correctif, cependant les sites plus modestes ne sont pas encore tous immunisés. Les principaux éditeurs de logiciel font également leur maximum pour pousser le correctif chez leurs clients. Il est possible de vérifier si un site est vulnérable ou non en utilisant le site http://filippo.io/Heartbleed/.

    La publication de cette faille de sécurité a eu lieu avant même que le moindre patch ne soit disponible, ce qui a provoqué une réaction très rapide des principaux acteurs du Web.

    En attendant, il est recommandé d'être prudent lorsqu'un site utilise une connexion cryptée par SSL/TLS (url commençant par HTTPS). Changer de mot de passe n'est pas une solution, car celui-ci pourrait être récupéré via un site vulnérable lors du changement.

    Si votre site est vulnérable, n'attendez pas pour appliquer le patch 1.0.1g sur vos serveurs. Il est disponible ici : http://www.openssl.org/source/
    Il faut également déposer de nouvelles clés et renouveler son certificat de sécurité.
    Less Is More
    Pensez à utiliser les boutons , et les balises code
    Desole pour l'absence d'accents, clavier US oblige
    Celui qui pense qu'un professionnel coute cher n'a aucune idee de ce que peut lui couter un incompetent.

  2. #2
    Membre actif
    Inscrit en
    Décembre 2005
    Messages
    251
    Détails du profil
    Informations forums :
    Inscription : Décembre 2005
    Messages : 251
    Points : 267
    Points
    267
    Par défaut
    Je ne suis pas tout à fait d'accord sur le changement de mot de passe.

    Certes cela ne règle pas le problème, et si le service sur lequel est changé ce dernier est encore compromis, le risque reste le même. Mais sur un service impacté et sur lequel la faille de sécurité a été corrigé ça a du sens.



    Le problème est de savoir si oui ou non un service a été impacté. Ce qui m'inquiète un peu ce sont les banques qui ne sont pas franchement bavardes sur les problèmes de sécurité. Si un service ne communique pas comment savoir s'il faut changer le mot de passe ou pas ? J'ai hésité, mais j'ai quand même posté un message sur mon FB pour inciter mes amis à changer leur mot de passe de leur web banking et service stockant des données sensibles. Je pense également qu'il faudrait être vigilant ( je veux dire plus que d'habitude) les prochains temps sur les mouvements d'argent des comptes en banques. C'est peut être un excès de prudence mais ça ne me parait pas une mauvaise recommandation. Votre avis ?

    Ensuite certes aucune clé privé n'a été récupérer apparemment, mais chez yahoo! de nombreux mot de passe ont fuité de leur serveur d'authentification.

  3. #3
    Expert éminent
    Avatar de pmithrandir
    Homme Profil pro
    Responsable d'équipe développement
    Inscrit en
    Mai 2004
    Messages
    2 418
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Responsable d'équipe développement
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2004
    Messages : 2 418
    Points : 7 295
    Points
    7 295
    Par défaut
    Si tu veux savoir, tu peux tester ta banque avec ce lien.
    http://filippo.io/Heartbleed/

    A priori la mienne est pas impactée.

    En plus, si l'annonce a été faite hier matin dans les médias, l'update de open ssl était disponible 2 heures avant sur mon ordi. (distrib mageia) On peut donc espérer que les banques auront su réagir vite.

  4. #4
    Membre éprouvé Avatar de Algo D.DN
    Homme Profil pro
    WPM - Web Dev.
    Inscrit en
    Août 2012
    Messages
    374
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : WPM - Web Dev.
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2012
    Messages : 374
    Points : 1 173
    Points
    1 173
    Par défaut
    Citation Envoyé par sneb5757 Voir le message
    Je ne suis pas tout à fait d'accord sur le changement de mot de passe.

    Certes cela ne règle pas le problème, et si le service sur lequel est changé ce dernier est encore compromis, le risque reste le même. Mais sur un service impacté et sur lequel la faille de sécurité a été corrigé ça a du sens.
    Tout à fait d'accord, on ne peut pas demander aux utilisateurs de changer leurs pws si les serveurs (https donc sécurisés) restent vulnérables à cette faille...

    Moi ce qui m’inquiète dans ce cas de figure (Heartbleed affectant OpenSSL) c'est la réactivité des éditeurs de logiciel pour patcher leurs solutions, surtout le temps de réponse à l'application du correctif, j'ose supposer que la réactivité est au rendez-vous pour les sites sensibles et les serveurs ayant normalement une bonne maintenance.

    Quand à ceux pour qui la sécurité n'est qu'une notion abstraite

  5. #5
    Membre averti

    Homme Profil pro
    Inscrit en
    Octobre 2011
    Messages
    354
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations forums :
    Inscription : Octobre 2011
    Messages : 354
    Points : 410
    Points
    410
    Par défaut
    Bonjour,

    votre lien de test assure que ma banque aussi n'est pas impactée. Mais qui me dit qu'elle n'a pas fait sa mise à jour il y a 1h, et qu'avant elle était concernée. Autrement dit, on devrait peut être changer nos mots de passe quand même?

    Et pour d'autres sites (hébergés chez OVH) :

    Uh-oh, something went wrong: write tcp ***********:****: broken pipe

    Cela signifie que le diagnostic est impossible ou que la faille existe pour eux à votre avis?

    Exemple aussi du site de pari en ligne : https://www.betclic.fr

  6. #6
    Membre extrêmement actif
    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    1 616
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 1 616
    Points : 3 965
    Points
    3 965
    Par défaut
    Merci pour la news DotNetMatt

    C'est un peu l'effervescence autour de ce sujet
    Citation Envoyé par dev14 Voir le message
    Bonjour,

    votre lien de test assure que ma banque aussi n'est pas impactée. Mais qui me dit qu'elle n'a pas fait sa mise à jour il y a 1h, et qu'avant elle était concernée. Autrement dit, on devrait peut être changer nos mots de passe quand même?

    Et pour d'autres sites (hébergés chez OVH) :

    Uh-oh, something went wrong: write tcp ***********:****: broken pipe

    Cela signifie que le diagnostic est impossible ou que la faille existe pour eux à votre avis?

    Exemple aussi du site de pari en ligne : https://www.betclic.fr
    Je ne sais trop que penser de ce site de test.

    Concernant betclic, il est fort probable que ce soit un site servi par IIS, on y voit un cookie ASP.NET_SessionId
    et si tu lis ici :
    http://blogs.iis.net/erez/archive/20...d-and-iis.aspx
    IIS ne serait pas affecté

    Moi-même utilisant IIS7.5 sur 3 serveurs, j'ai testé toutes mes URLs servies en https parce que j'utilise différents certificats. La plupart ont répondu avec un "broken pipe " mais sur l'un d'eux ce testeur m'a remonté une lecture mémoire, uen seule fois, puis ensuite "broken pipe ". Donc ce site de test n'est peut-être pas totalement fiable, et il n'a rien d'officiel.

    extrait de la FAQ du site en question :
    broken pipe is also caused by the unaffected IIS server
    Émotion
    Infantilisation
    Culpabilisation

    Christophe Alévèque - 18 Mars 2021

  7. #7
    Expert éminent
    Avatar de pmithrandir
    Homme Profil pro
    Responsable d'équipe développement
    Inscrit en
    Mai 2004
    Messages
    2 418
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Responsable d'équipe développement
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2004
    Messages : 2 418
    Points : 7 295
    Points
    7 295
    Par défaut
    Pour moi c'est pourtant simple.

    Tu testes :
    - si c'est infecté, tu ne t'y connecte surtout pas
    - sinon, tu change ton mot de passe par précaution(vu qu'ils sont clean ou ont résolu le problème)

  8. #8
    Modérateur
    Avatar de DotNetMatt
    Homme Profil pro
    CTO
    Inscrit en
    Février 2010
    Messages
    3 611
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : CTO
    Secteur : Finance

    Informations forums :
    Inscription : Février 2010
    Messages : 3 611
    Points : 9 743
    Points
    9 743
    Billets dans le blog
    3
    Par défaut
    Concernant les mots de passe, si le site est vulnérable a un instant T, un attaquant a potentiellement pu les récupérer. Si le mot de passe est changé à un instant T+1 et que le site est toujours vulnérable, cela ne sert à rien puisque l'attaquant a également pu le récupérer...

    Il faut donc attendre que le patch 1.0.1g ait été installé ET que le site ait modifié son certificat avant de modifier son mot de passe en toute sécurité. En effet, si l'attaquant a pu récupérer les clefs de cryptage, le certificat ne sert plus à grand chose, même s'il a installé le patch...

    Les grandes entreprises ont pour la plupart pris des mesures rapidement. Après comme il n'y a pas beaucoup de communication sur le sujet, il n'est pas évident de savoir si seul le patch a été installé, et si le certificat a été remplacé ou non...

    En tout cas ça remet sérieusement en question le mythe du tout-sécurisé grâce à la transparence de l'open-source que tout le monde peut tester et mettre à jour... Ce bug a été découvert, mais combien sont actuellement présents et ne sont pas encore connus ?
    Less Is More
    Pensez à utiliser les boutons , et les balises code
    Desole pour l'absence d'accents, clavier US oblige
    Celui qui pense qu'un professionnel coute cher n'a aucune idee de ce que peut lui couter un incompetent.

  9. #9
    Membre actif
    Inscrit en
    Décembre 2005
    Messages
    251
    Détails du profil
    Informations forums :
    Inscription : Décembre 2005
    Messages : 251
    Points : 267
    Points
    267
    Par défaut
    Citation Envoyé par DotNetMatt Voir le message
    Concernant les mots de passe, si le site est vulnérable a un instant T, un attaquant a potentiellement pu les récupérer. Si le mot de passe est changé à un instant T+1 et que le site est toujours vulnérable, cela ne sert à rien puisque l'attaquant a également pu le récupérer...

    Il faut donc attendre que le patch 1.0.1g ait été installé ET que le site ait modifié son certificat avant de modifier son mot de passe en toute sécurité. En effet, si l'attaquant a pu récupérer les clefs de cryptage, le certificat ne sert plus à grand chose, même s'il a installé le patch...

    Les grandes entreprises ont pour la plupart pris des mesures rapidement. Après comme il n'y a pas beaucoup de communication sur le sujet, il n'est pas évident de savoir si seul le patch a été installé, et si le certificat a été remplacé ou non...

    En tout cas ça remet sérieusement en question le mythe du tout-sécurisé grâce à la transparence de l'open-source que tout le monde peut tester et mettre à jour... Ce bug a été découvert, mais combien sont actuellement présents et ne sont pas encore connus ?


    Les jours à venir seront intéressant pour juger la gestion de crise de différentes entreprises. Car le problème est bien là. Comment savoir si une entreprise affecté a bien mis à jour sa bibliothèque ? Il y'a certe des moyens de tester (comme le souligne pmithrandir) mais l'utilisateur néophyte n'aura pas franchement le réflexe. Et a mon avis il n'a pas l'avoir. Il me semble qu'une directive européenne est en cours de préparation pour obliger les entreprises à communiquer sur les incidents de sécurité. Il me semble que cet incident souligne bien l'intérêt d'une telle directive.

    Les jours à venir seront assez intéressants pour voir si des entreprises affectées communiquent ou non. Ma banque par exemple a été affectée mais n'a pas communiqué. Je l'ai appris par la presse.

    Cocnernant l'open source c'est peut être parce que le code était ouvert que la faille a pu être découverte non ? Ce que cette histoire nous apprend c'est qu'il y'a un vrai travail à faire sur la qualité du code et sur les tests de ce genre de bibliothèque. Et ce n'est pas du tout un problème propre à l'open source.

    Citation Envoyé par pmithrandir Voir le message
    Si tu veux savoir, tu peux tester ta banque avec ce lien.
    http://filippo.io/Heartbleed/

    A priori la mienne est pas impactée.

    En plus, si l'annonce a été faite hier matin dans les médias, l'update de open ssl était disponible 2 heures avant sur mon ordi. (distrib mageia) On peut donc espérer que les banques auront su réagir vite.
    Oui mais le soucis est de tester toutes les interfaces pour conclure que c'est clean. Pour le credit mutuel j'ai testé le web banking et il était clean. Par contre, le serveur de paiement qui est sur une adresse différente ne l'était pas. Comme je disais ce n'est pas à nous en tant que client d’effectuer des tests. D'ailleurs une majorité de clients ne le feront pas d'eux même. Ils n'ont d'ailleurs pas à le faire c'est aux entreprises de communiquer.

    Et puis je vais faire mon paranoïaque de base. Mais ce genre de site de test n'est pas forcément clean. Dans le cas présent il a l'air clean mais qu'est qui prouve qu'il n'est pas utilisé pour faire une liste des sites infectés et la publier ? En tout cas dans l'entreprise où je travaille, j'ai demandé à ce que les tests sur nos serveurs HTTPS concernant la faille ne soit réalisé à partir de tel site mais seulement à partir de site dont nous avions vérifié le code au préalable.

  10. #10
    Inactif  
    Profil pro
    Inscrit en
    Février 2007
    Messages
    411
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Février 2007
    Messages : 411
    Points : 0
    Points
    0
    Par défaut
    Donc si j'ai bien compris si je me connecte sur un site avec cette faille tous passera en clair ? Mot de passe, N° Carte de credit,...

    C'est beau l'Open Source.

    Je suis d'accord que la communautés peut être réactif et corriger rapidement ce genre de bug. Encore faut il que ca soit corrige plus rapidement qu'une firme tel que Microsoft, Google ou autre (permeter moi de douter mais bon soit)

    Mais vous ne m'empecherez pas d'etre certain qu'il est plus facile de trouver une faille dans un logiciel dont on a le code source.

    Si je me trompe une correction est vraiment la bien venue.

  11. #11
    Membre éprouvé
    Profil pro
    Inscrit en
    Février 2010
    Messages
    765
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2010
    Messages : 765
    Points : 1 036
    Points
    1 036
    Par défaut
    Il faut relativiser , l'attaquant ne contrôle pas la zone mémoire qu'il va récupérer,
    même s'il peut tenter l'attaque autant de fois qu'il veux, le résultat est aléatoire.

  12. #12
    Membre actif
    Inscrit en
    Décembre 2005
    Messages
    251
    Détails du profil
    Informations forums :
    Inscription : Décembre 2005
    Messages : 251
    Points : 267
    Points
    267
    Par défaut
    Oui mais dans le cas d'un serveur d'authentification avec des milliers d'authentification par minutes ça fait des ravages ( cf yahoo mail).

    Je pense que le fait que ça soit aléatoire est encore pire. Il y'a aucun moyen de savoir ce qui a fuité ou pas. Juste constaté les éventuels dégâts.

  13. #13
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par GTSLASH Voir le message
    C'est beau l'Open Source.
    ...
    Oui, mais des problèmes il y en a partout libre ou pas...

    Sinon pour Android ( et les ajouts constructeurs ) quelqu'un sait où on en est?
    Dernière modification par Invité ; 10/04/2014 à 14h30.

  14. #14
    Inactif  
    Profil pro
    Inscrit en
    Février 2007
    Messages
    411
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Février 2007
    Messages : 411
    Points : 0
    Points
    0
    Par défaut
    Oui, mais des problèmes il y en a partout libre ou pas...
    Oui je sais. Je vend moi même des logiciel et les problèmes arrive a tous le monde. C'est n'est pas ca que je met en cause. Je met en cause le fait que quand le code source est public il est plus facile de trouver des failles.

  15. #15
    Membre actif
    Inscrit en
    Décembre 2005
    Messages
    251
    Détails du profil
    Informations forums :
    Inscription : Décembre 2005
    Messages : 251
    Points : 267
    Points
    267
    Par défaut
    Ca va repartir en débat interminable en libre VS non libre mais il est préférable qu'une faille soit connu par un plus grand nombre et corrigé au plus vite , plutôt que la faille soit connue par seulement une poignée de hacker et exploité sur du plus long terme.

    La sécurité par l'obscurité n'est pas ce qu'il y'a de plus efficace.

  16. #16
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par GTSLASH Voir le message
    Je met en cause le fait que quand le code source est public il est plus facile de trouver des failles.
    Ou plus facile à corriger aussi et sur un code propriétaire on ne peut pas mais les logiciels propriétaires sont victimes de pirates depuis des lustres.

    Bref c'est l'humain derrière qui fait tout dans un cas comme dans l'autre.

  17. #17
    Membre éprouvé Avatar de Algo D.DN
    Homme Profil pro
    WPM - Web Dev.
    Inscrit en
    Août 2012
    Messages
    374
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : WPM - Web Dev.
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2012
    Messages : 374
    Points : 1 173
    Points
    1 173
    Par défaut
    Citation Envoyé par GTSLASH Voir le message
    Je suis d'accord que la communautés peut être réactif et corriger rapidement ce genre de bug. Encore faut il que ca soit corrige plus rapidement qu'une firme tel que Microsoft, Google ou autre (permeter moi de douter mais bon soit)
    Mais vous ne m'empecherez pas d'etre certain qu'il est plus facile de trouver une faille dans un logiciel dont on a le code source.
    Si je me trompe une correction est vraiment la bien venue.

    Pour ma part je constate que sur deux distributions Libres Debian et Trisquel cette faille est déjà corrigé...

  18. #18
    Inactif  
    Profil pro
    Inscrit en
    Février 2007
    Messages
    411
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Février 2007
    Messages : 411
    Points : 0
    Points
    0
    Par défaut
    oui. je ne me fais pas de tracas pour la correction des failles mais sur la découverte des failles. Quand tous le monde vois le code c'est plus facile d'en trouver. c'est principalement ca qui me fait peur dans l'Open Source. Surtout quand c'est dans le domaine de la sécurité.

  19. #19
    Membre actif
    Inscrit en
    Décembre 2005
    Messages
    251
    Détails du profil
    Informations forums :
    Inscription : Décembre 2005
    Messages : 251
    Points : 267
    Points
    267
    Par défaut
    J'ai du mal à comprendre cette crainte. Le but ce n'est pas de mettre les failles sous le tapis. Mais de les trouver et de les corriger.

    Ceci dit il n'y a pas forcément besoin d'accéder aux codes sources pour trouver des failles. Vu le nombre de failles découverte ( zero day en plus)dans des produits microsoft, apple ou adobe ayant un code fermé on ne peut pas dire que la fermeture du code source empêche quoique ce soit.

  20. #20
    Inactif  
    Profil pro
    Inscrit en
    Février 2007
    Messages
    411
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Février 2007
    Messages : 411
    Points : 0
    Points
    0
    Par défaut
    Si 100 personnes connaissent une faille et l exploitent pendant 1 an ça me donnera moins de risque que si 3 000 000 l'exploite 3 jours. Sans parler de la NSA etc

    http://foxitsecurity.files.wordpress...ed-example.png

    en trois jours ils ont pu en avoir des mots de passes et le revendre. Et en plus le script a ete publier et est donc accessible a tous le monde. Mois ca me fait peur en tous cas

    Vu le nombre de failles découverte ( zero day en plus)dans des produits microsoft, apple ou adobe ayant un code fermé on ne peut pas dire que la fermeture du code source empêche quoique ce soit.
    Mon avis est qu'un code ferme n’empêche pas la découverte de failles mais qu'un code ouvert la facilite

Discussions similaires

  1. Réponses: 12
    Dernier message: 17/05/2014, 10h09
  2. Réponses: 4
    Dernier message: 27/04/2014, 00h01
  3. Réponses: 4
    Dernier message: 27/04/2014, 00h01
  4. Réponses: 2
    Dernier message: 18/04/2014, 10h12
  5. Réponses: 3
    Dernier message: 12/04/2014, 16h08

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo