Un problème sur les protocoles utilisés pour protéger le trafic a été corrigé en urgence, mais la mise à jour doit encore être déployée partout... [Vous devez être inscrit et connecté pour voir cette image]
Alors que le monde avait les yeux tournés vers Windows XP, l’apocalypse a bien failli venir d'une technologie bien moins connue du grand public: OpenSSL, un protocole largement utilisé en ligne pour crypter le trafic Web. Mais si le pire a été évité, la prudence reste de mise.
OpenSSL, c'est quoi?
Vous voyez ce petit cadenas, accompagné de «https», à gauche d'une adresse Web, par exemple sur Yahoo.fr? Cela signifie que le trafic échangé entre votre PC et le serveur est crypté, notamment pour protéger des informations confidentielles comme un mot de passe ou un numéro de carte bancaire. OpenSSL est une technologie open source utilisée par de nombreux sites pour implémenter les deux protocoles de cryptage les plus communs, SSL et TLS.
Qu'est-ce qui saigne?
Le bug a été baptisé «heartbleed» (cœur qui saigne) par ceux qui l'ont découvert, des chercheurs finlandais de Codenomicon et une équipe de Google Security. Il s'agit d'un défaut de conception qui permet à une personne tierce de récupérer des données. A la base, la requête «heartbeat» vérifie que la connexion avec un serveur est encore active, comme une sorte de «ping». Mais en ajoutant des paramètres, au lieu de répondre un simple «pong», le serveur crache des données stockées dans sa mémoire vive: login, mot de passe, numéro de carte bleue etc. Pire, les clés de cryptage utilisées par le site peuvent même être obtenues. Heureusement, un hacker mal intentionné pêche en aveugle et il doit effectuer de nombreuses requêtes pour obtenir quelque chose d'intéressant.
Combien de sites sont concernés?
Beaucoup. Selon les experts, plus de deux tiers des serveurs Web utilisent OpenSSL, notamment ceux sous Apache ou Nginx. La faille ne concerne cependant qu'une version récente, de 2011. Selon Netcraft, au moins un demi-million de sites sont touchés. Il semble que Google, Facebook, Microsoft, Twitter, Amazon ou Dropbox n'aient pas été concernés (ou qu'ils aient bouché la faille avant l'annonce publique). Les sites de Yahoo, Imgur, OkCupid, KickAss Torrent et du FBI, en revanche, étaient vulnérables.
Le problème corrigé, la mise à jour en cours de déploiement
Les chercheurs ont travaillé avec OpenSSL, et un patch a été déployé lundi soir. Les administrateurs Web doivent mettre à jour leur serveur à la dernière version (OpenSSL 1.0.1g). Certains géants du Net, comme les aiguilleurs de trafic Akamai et CloudFlare, ont visiblement été prévenus en avance et l'ont déjà fait. D'autres, comme Yahoo, l'ont découvert mardi matin et ont updaté leurs systèmes en urgence.
Potentiellement, un problème de long terme
Il y a deux problèmes. D'abord, on ne sait pas si la faille a été exploitée avant qu'elle ne soit rendue publique. Surtout, un site n'a aucun moyen de savoir si ses serveurs ont «saigné» des données par le passé. Selon l'expert en sécurité Michael Kreps, si des hackers ont réussi à dérober des clés de cryptage, ils pourront les utiliser plus tard. Pour protéger ses utilisateurs, un site doit déposer de nouvelles clés et renouveler son certificat de sécurité, ce qui coûte souvent de l'argent. Que faire pour l'utilisateur?
Pas grand chose. Le réseau TOR, qui permet de surfer anonymement, conseille à ses utilisateurs «de ne pas utiliser Internet pendant quelques jours», le temps que le patch soit appliqué partout. Cet outil permet de tester si un site est vulnérable, mais il ne marche pas pour tous. En cas de résultat positif, il ne faut surtout pas rentrer ses informations de connexion. Il est enfin probable que dans les prochains jours, des géants comme Yahoo conseillent de réinitialiser son mot de passe. Il faudra alors s'exécuter. Et ne pas oublier de le changer sur tous les autres sites où on l'utilisait.
Source : [Vous devez être inscrit et connecté pour voir cette image]
J'ai vu ça. La plupart des utilisateurs d'achats en ligne ne savent même pas s'ils sont sur un site sécurisé. Alors, https, sstp, ssl, que du chinois...
je viens de voir l'info sur canal + donc c'est le ptit cadenas qui ne fonctionne plus en gros !! et donc il est déconseillé de faire des achats sur internet tant qu'ils n'ont pas trouvé la solution !! En fait cette faille dure depuis 2011 !
Il ne faut pas non plus paniquer, les algorithmes d'encryptions sont basés sur des clés de 2048 à 4096 bytes, alors à moins que d'avoir l'intégralité de la clé, et la j'ai des doutes, il n'y a pas encore trop de risques, ceux-ci viennent de la négligeance des sites avec des firewalls mal gérés, des ports ouverts pour laisser passer les courants d'airs, des mots de passes très faibles, et les fameuses backdoors oubliées. Life me comprendra.
je ne fais pas des tonnes d'achats sur le net mais mon mari aime le site d'Oscaro pour les pièces auto et moi Amazon ... et je me sers d'une e-carte pour ces achats en ligne
Le membre suivant remercie pour ce message :
erasmus
Merci pour les 12 ans de "Petite Feuille"
De la part de toute l'équipe de "Petite Feuille" nous vous remercions, vous tous, pour votre participation et votre soutien !
Je te rassure Caro, à chaque transaction par e-card, un code unique de transaction est généré, indépendant de tes coordonnées bancaires connues de ta banque seule. En cas de "loupé" tu es assurée, comme une CB normale, mais la procédure est plus longue, alors merci qui ?
papacoz arrête de tout savoir et être meiux que les autres !! pffffffffff y'a pas que Canal+ qui l'on dit !! après TOI tu fais ce que tu veux !! mais bon je préfère être parano et ne pas me faire flooder ma carte et je sais erasmus que la banque là dessus nous protège, mais bon je préfère rester prudente
Heartbleed: La NSA aurait exploité la faille pendant deux ans pour obtenir des renseignements
Code:
Selon les sources de Bloomberg, l’agence américaine aurait «régulièrement utilisé» la faille pour obtenir des renseignements, «incorporant la faille Heartbleed dans son arsenal», ce qui lui aurait permis d’obtenir des mots de passe et d’autres informations de base, et d’attaquer des services comme Gmail et Amazon, dont les mesures de protection contre Heartbleed n’ont été déployées que la semaine dernière. Par ce moyen et « des milliers de vulnérabilités similaires », la NSA aurait eu accès à deux tiers des serveurs cryptés du Web.
ce sont les americain qui ont invente a la base internet donc ils veulent garde le controle dessus comme les entreprises avec leur copyright [Vous devez être inscrit et connecté pour voir ce lien]
Hier à 23:27 par 
Login
Localité
moi aussi, d'abord rien que pour essayer si le vêtement me va 
et je sais erasmus que la banque là dessus nous protège, mais bon je préfère rester prudente 
non mais quoi, ils se prennent pour les maîtres du monde ?? 
