Actualité

 

Faille SSL, et si la NSA était au courant !

Publié le 09-04-2014 à 13:32:49 dans le thème Réseau - Sécurité

Pays : International - Auteur : La rédaction


Pub : Découvrez les Labs ZATAZ


Note des lecteurs: 2.2/5

Yahoo!, Oracle, et des centaines de sites web faillibles à une vulnérabilité visant OpenSSL. Vous avez du certainement en entendre parler. La faille qui fait peur, la vulnérabilité qui touche OpenSSL. Si on écoute, ci-et-là, il est possible de lire, voler, copier vos emails, mots de passe, d'un simple clic. Il est vrai que cette faille permet de lire 64Ko de mémoire sur la machine distante. Donc autant de données possibles à intercepter pour celui qui a les moyens de le faire.

Le problème vise la bibliothèque Heartbleed d'OpenSSL. Elle s'attaque à ce logiciel de chiffrement particulièrement utilisé. Elle touche les versions 1.0.1 et 1.0.2 d'OpenSSL. Bilan, les protocoles SSL et TLS, qui sont les "sécurités" de l'Internet, deviennent le cheval de Troie de pirates ayant de gros, très gros moyens. Dans la ligne de mire possible des vilains Yahoo!, Red Hat, Debian, SuSE, Canonical, Oracle ...

Si un correctif est annoncé pour le 1.0.2, il est intéressant de regarder le doigt qui dénonce la faille... plus que le problème. Ce gros problème de sécurité informatique permet, toujours dans la mesure où vous êtes un pirate à gros moyen, d'intercepter les informations chiffrées. Il suffit de regarder un site en HTTPS et se dire que les données (mots de passe, données bancaires, courriels, ...) ne sont pas sécurisées si OpenSSL 1.0.1 (non pacthé, ou 1.0.2) est en action sur le dit serveur. Il suffit de passer en 1.0.1g pour ne plus rien risquer. Pour la version bêta 1.0.2, le pacth est en cours.

L'auteur de l'annonce, Cloudflare, société qui propose de se sécuriser via le Cloud. L'entreprise, qui a été attaqué à grands coups de DDoS voilà quelques semaines, a diffusé l'information avant que la moindre correction ne soit proposée pour la version 1.0.2. Heureusement, Cloudflare a des solutions dans sa besace. Il est intéressant de se pencher sur cette faille, qui serait due à une erreur de programmation.

Aurions-nous, donc, une première réponse sur les techniques employées par les grandes oreilles de l'Oncle Sam pour intercepter et lire des messages, sans que les sociétés ne soient au courant, comme Yahoo!. Nous vous conseillons de tester le site de Filippo Valsorda, baptisée Heartbleed test,  afin de savoir si votre serveur est faillible.

 

# Liens connexes

Info CloudFlare

 

Conseiller cet article RSS ZATAZ Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur del.icio.us

Derniers contenus

Fuite de données d'auditeurs de France Info

29-04-2014 à 12:55 - 0 commentaire(s)

Ip, mail et système informatique des auditeurs web de France Info accessibles aux pirates.

Problème de sécurité pour M6 Boutique

29-04-2014 à 12:10 - 0 commentaire(s)

Un bug sur le site web de M6 Boutique pourrait permettre de piéger les clients de cet espace de télé achat.

Le contrôleur Européen de la Protection des Données a des fuites

29-04-2014 à 11:50 - 0 commentaire(s)

Le site Internet du Gardien Européen de la protection des données personnelles a des problèmes avec sa propre sécurité informatique.

Watch Dogs : plusieurs failles corrigées pour Chicago

28-04-2014 à 14:19 - 0 commentaire(s)

Plusieurs importants sites de la Ville de Chicago corrigés via le protocole d'alerte de zataz.

66 pays visés par un code malveillant dédié aux SMS

28-04-2014 à 11:51 - 0 commentaire(s)

SMS Android OS FakeInst, un logiciel malveillant qui utilise vos SMS pour détourner de l'argent.

Anonymous lance le projet AirChat

28-04-2014 à 11:40 - 0 commentaire(s)

AirChat, un projet Anonymous qui souhaite permettre la diffusion de données numériques par la bande FM.

Google rembourse des utilisateurs d'Android

28-04-2014 à 11:16 - 0 commentaire(s)

Un virus informatique cachée dans une application Android ? Google s'excuse et rembourse les internautes piégés.

Piratage d'une Université pour fabriquer des bitcoins

28-04-2014 à 11:02 - 0 commentaire(s)

Des pirates informatiques ont compromis cinq serveurs de l'Université de l'Iowa pour installer une fabrique de bitcoins.

Sur le même thème : Réseau - Sécurité

Fuite de données d'auditeurs de France Info

Ip, mail et système informatique des auditeurs web de France Info accessibles aux pirates.

Problème de sécurité pour M6 Boutique

Un bug sur le site web de M6 Boutique pourrait permettre de piéger les clients de cet espace de télé achat.

Le contrôleur Européen de la Protection des Données a des fuites

Le site Internet du Gardien Européen de la protection des données personnelles a des problèmes avec sa propre sécurité informatique.

Watch Dogs : plusieurs failles corrigées pour Chicago

Plusieurs importants sites de la Ville de Chicago corrigés via le protocole d'alerte de zataz.

Fuite de données possible via une faille Adobe Reader Android

Un PDF piégé pourrait compromettre vos données sauvegardées dans votre tablette ou smartphone sous Android.

Piratage de données bancaires chez LaCie

LaCie, fabricant de disques durs et systèmes de stockages numériques infiltré pendant 1 an... avant de s'en appercevoir.

La nouvelle secrétaire d'Etat au numérique a un site web aware

Axelle Lemaire, la toute fraîche nouvelle secrétaire d'Etat au numérique a du boulot sur la planche... en débutant par son site web.

 


Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA