Discussion :

[Invité]

BOSTON (Reuters) - Des experts en informatique ont signalé mardi l'existence d'une des plus graves failles de sécurité découvertes depuis des années et affectant un logiciel d'encodage utilisé par un très grand nombre de sites internet.

Cette faille baptisée "Heartbleed" a été découverte par des chercheurs de Google et d'une petite entreprise de sécurité informatique Codenomicon.

Elle a incité le département américain du Homeland Security à conseiller à toutes les entreprises de vérifier si leurs serveurs utilisaient une version vulnérable du logiciel OpenSSL.

Cette faille, qui existe depuis deux ans environ, permet à des pirates informatiques d'avoir accès à des données sensibles, dont des mots de passe ou des codes secrets, en passant par la mémoire des serveurs.

Une mise à jour d'OpenSSL réparant la faille de sécurité est déjà disponible.

Chris Eng, vice-président du département recherches chez Veracode, société de sécurité informatique, a précisé que des centaines de milliers de serveurs internet partout dans le monde devaient être mis à jour dès que possible afin de les protéger contre d'éventuelles attaques.

Selon lui, des hackers pourraient être tentés d'exploiter cette faille de sécurité maintenant qu'elle est connue publiquement.

Un porte-parole de Yahoo a reconnu que Yahoo Mail présentait une vulnérabilité mais a précisé que le problème avait été réglé ainsi que pour d'autres sites de la société comme Yahoo Search, Finance, Sports, Flickr et Tumblr.

Source https://fr.news.yahoo.com/d-couverte...070046364.html


Voir également le site dédié à ce bug : http://heartbleed.com/

Steph

[benjani13]

C'est rare qu'une faille fasse autant de bruit, et ce n'est pas pour rien. Bravo à l'équipe qui l'a découverte.

Pas de news là dessus dans le fil d'actualité? C'est dommage car il serait bon que l'info circule rapidement.

Sinon, quelques liens:
- Quelqu'un a dressé une liste des sites les plus visités dans le monde en regardant si la faille était présente ou non (5 dans le top 100, 47 dans le top 1000, 628 dans le top 10000) :
https://github.com/musalbas/heartbleed-masstest

- Un petit site qui vous permet de tester si votre site est vulnérable ou non:
http://filippo.io/Heartbleed/

[Invité]

C'est rare qu'une faille fasse autant de bruit, et ce n'est pas pour rien. Bravo à l'équipe qui l'a découverte.

Pas de news là dessus dans le fil d'actualité? C'est dommage car il serait bon que l'info circule rapidement.

Sinon, quelques liens:
- Quelqu'un a dressé une liste des sites les plus visités dans le monde en regardant si la faille était présente ou non (5 dans le top 100, 47 dans le top 1000, 628 dans le top 10000) :
https://github.com/musalbas/heartbleed-masstest

- Un petit site qui vous permet de tester si votre site est vulnérable ou non:
http://filippo.io/Heartbleed/

C'est Neel Mehtah de l'équipe Google Security qui a trouvé le bug. C'est une attaque qui exploite une faille du Heartbeat (RFC6520).

Ce bug est présent depuis longtemps... Je connais des spécialistes Sécu qui soupçonnent que c'est grâce à cette faille que la NSA cassait OpenSSL depuis très longtemps

Steph

[Invité]

Je connais des spécialistes Sécu qui soupçonnent que c'est grâce à cette faille que la NSA cassait OpenSSL depuis très longtemps

As expected.

http://www.bloomberg.com/news/2014-0...consumers.html

Steph