Heartbleed, la fiabilité d'OpenSSL remise en question

[Soulalex]

Bonjour,

 

En Décembre 2013, l'équipe de sécurité de Google découvre une faille dans le logiciel de cryptographie OpenSSL réputé pour sécuriser les données transitant entre un serveur et son client. Cette faille, implantée par erreur dans la version 1.0.1 d'OpenSSL sortie le 14 Mars 2012, permet de récupérer en clair des données sensibles protégées par ce logiciel. Cette faille, maintenant corrigée dans la version 1.0.1g le 7 Avril 2014, aura été profité par de nombreuses personnes malveillantes et notamment la NSA pendant 2 ans pour des opérations de surveillance et d'espionnage (d'après Bloomberg News).

[Elliotau78]

Si j'ai bien compris, ils pouvaient avoir des informations de plus sur nous ?

[Soulalex]

Le logiciel OpenSSL permet de crypter des données pendant qu'elles transitent entre le serveur et le client, ce qui offre une protection contre les attaques pouvant survenir lors du transit mais avec la faille de sécurité Heartbleed, les données soit disant cryptées ont pu être décryptées par des personnes étrangères donc ces personnes pouvait récupérer des données telles que des numéros de sécurité social, de compte, ...

[Elliotau78]

Ah ouais carrément...

[nell]

http://lifehacker.com/lastpass-now-tells-you-which-heartbleed-affected-passwo-1561522244

[Azad]

C'est juste une brèche apocalyptique puisque tout le monde utilise le cryptage SSL, que ça soit les banques, les hébergeurs des banques : même CloudFare, le géant de la protection des sites web a été infecté par cette faille qui a permit à un utilisateur d'obtenir les clefs de sécurité privée...
Alarmant.

[Soulalex]

Je me demande quelles sont les procédures adoptées dans ce genre de crise car beaucoup d'informations personnelles ont dues etre compromises.

[Azad]

A mon avis, le correctif est déjà sortit, et il suffit de mettre à jour, mais pour les immenses architectures des grandes entreprises, une mise à jour n'est pas si simple.

[Soulalex]

Oui le correctif est sorti le 7 Avril, mais pendant plus de deux ans que cette faille existe, des données ont pu être récupéré et exploité donc qu'est ce que les entreprises vont-ils faire pour éliminer tout risque de piratage ? Nous n'avons pas encore entendu parlé de cette anomalie à la télévision, ce qui m'étonne d'ailleurs. Y aurait-il des restrictions concernant ce genre d'information ?

[Azad]

restrictions concernant ce genre d'information ?

 

Bah ça m'étonnerait sincérement pas du tout... C'est triste mais d'un coté, c'est mieux, comme ça les gens qui n'y connaissent rien ne s'alarment pas. :/

[Stankovic]

Bonjour,

Je suis arrivé sur le forum un peut tard mais le sujet m’intéresse, en ce qui concerne cette faille de sécurité, il n'y a pas 36 solutions à part changer ses mots de passe (en plus complexe et fréquemment) et bien les protéger. Effectuer la bascule et la mise à jour OpenSSl de votre serveur et bien évidemment utiliser un bon password manager du type Lastpass qui vous rend étanche à Heartbleed et cupidon.

[Azad]

Je n'ai pas réellement suivi la faille d'Heartbleed, mais en l’occurrence si c'est bien ce que je pense la complexité d'un mot de passe n'était pas prise en compte.

Heureusement OpenSSL s'est mis à jour très rapidement, ce qui a pu limiter la casse.

[Soulalex]

Il ne faut pas oublier que cette faille a été implantée il y a 2 ans par erreur (heureusement) et qu'elle n'a été corrigée que cette année donc de la casse il y en a surement eu.

[AlexMog]

Pour l'instant, OpenSSL a fait ses preuves. C'était une erreur de conception qui a créé ce problème, l'erreur étant résolue, le système de cryptage en lui même est très bon. (En réalité, il s'agissait d'une erreur au niveau des données du serveur de contact, il envoyait une clée privée au lieu de publique), mais le problème a été résolu, et je ne pense pas qu'on en ré-entende parler de si tôt!

Modifié July 13, 2014 par AlexMog