IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Mobiles Discussion :

Android : des applications utilisant OpenSSL échappent à la faille HeartBleed


Sujet :

Mobiles

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    mars 2013
    Messages
    426
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : mars 2013
    Messages : 426
    Points : 32 560
    Points
    32 560
    Par défaut Android : des applications utilisant OpenSSL échappent à la faille HeartBleed
    Android : des applications utilisant OpenSSL échappent à la faille HeartBleed
    A cause d’un bug dans leur code source

    HeartBleed, c’est la nouvelle vulnérabilité critique qui fait parler d’elle en ce moment. Quoi de plus normal, puisqu’elle touche OpenSSL, une bibliothèque quasi universelle pour le chiffrement des données sur Internet.

    Concrètement, il s’agit d’un dépassement de tampon (Buffer Overflow) qui affecte les versions 1.0.1 et 1.0.2 d’OpenSSL. Un hacker peut l’exploiter pour extraire des informations sensibles (clés privées par exemple) de la mémoire d’un serveur vulnérable.

    L’inverse est aussi vrai. Autrement dit, un serveur compromis peut à son tour extraire les données sensibles de la mémoire des clients qui exécutent des versions vulnérables d’OpenSSL.

    Dans une récente étude, le cabinet de sécurité Fire Eye estime que 150 millions d’applications Android téléchargées intègrent des versions vulnérables de la bibliothèque de chiffrement. Sauf qu’en pratique, certaines de ces applications ne sont pas du tout vulnérables à HeartBleed.

    Un mystère que les experts du cabinet ont pu élucider. Ces applications contiennent un bug qui fait qu’elles utilisent les fonctionnalités de chiffrement natives de la plateforme de Google, et non celles de leur bibliothèque embarquée. Or, la bibliothèque native de la plateforme n’est pas vulnérable à HeartBleed. Comme quoi tous les bugs ne sont pas néfastes.

    De plus, on note d’après Fire Eye que les applications Android les plus touchées sont les jeux et dans une moindre mesure les outils de productivité. Mais tout de même, dans l’ensemble, les développeurs réagissent bien face à HeartBleed. Le nombre d’applications vulnérables diminue de façon appréciable.

    Source: Blog Fire Eye

    Et vous ?

    Avez-vous déjà été victime d'un bug "positif" comme celui-ci ?

  2. #2
    Expert éminent sénior
    Avatar de rawsrc
    Homme Profil pro
    Dev indep
    Inscrit en
    mars 2004
    Messages
    6 142
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 46
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Dev indep

    Informations forums :
    Inscription : mars 2004
    Messages : 6 142
    Points : 16 538
    Points
    16 538
    Billets dans le blog
    12
    Par défaut
    Citation Envoyé par Cedric Chevalier Voir le message
    Comme quoi tous les bugs ne sont pas néfastes.
    Toutafé : il est coutume de dire : "c'est un mal pour un bien"

  3. #3
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2006
    Messages
    5 239
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : décembre 2006
    Messages : 5 239
    Points : 19 646
    Points
    19 646
    Billets dans le blog
    17
    Par défaut
    J'ai mémoire d'un effet inverse: en croyant corriger un bug ça en a créé un:
    En analysant le code source et voyant une variable non défini, la personne a défini cette variable (croyant corriger le problème) et en fait c'etait "fait exprès": le fait de ne pas initialiser la variable la mettait dans un etat "inconnu" nécessaire pour l'algo de chiffrage...

    Mais ça c'est plutôt : le mieux est l'ennemie du bien
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  4. #4
    Membre chevronné Avatar de nirgal76
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2007
    Messages
    900
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : septembre 2007
    Messages : 900
    Points : 2 101
    Points
    2 101
    Par défaut
    Citation Envoyé par imikado Voir le message
    J'ai mémoire d'un effet inverse: en croyant corriger un bug ça en a créé un:
    En analysant le code source et voyant une variable non défini, la personne a défini cette variable (croyant corriger le problème) et en fait c'etait "fait exprès": le fait de ne pas initialiser la variable la mettait dans un etat "inconnu" nécessaire pour l'algo de chiffrage...

    Mais ça c'est plutôt : le mieux est l'ennemie du bien
    Faut plutôt revoir l'algo là (et les commentaires qui auraient dû prévenir en expliquant en peu). C'est du "poor programming" comme on dit chez nous.

  5. #5
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2006
    Messages
    5 239
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : décembre 2006
    Messages : 5 239
    Points : 19 646
    Points
    19 646
    Billets dans le blog
    17
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

Discussions similaires

  1. Réponses: 8
    Dernier message: 18/09/2014, 15h59
  2. Réponses: 2
    Dernier message: 29/07/2014, 14h12
  3. Réponses: 4
    Dernier message: 26/04/2014, 23h01
  4. Réponses: 1
    Dernier message: 23/02/2013, 23h17
  5. Réponses: 9
    Dernier message: 22/11/2010, 14h42

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo