INTERNET Un probleme sur les protocoles utilises Afin de couvrir le trafic a ete corrige en urgence, mais la mise a jour devra encore etre deployee partout.
Alors que individu avait le regard tournes par Windows XP, l’apocalypse a bien failli venir d’une technologie beaucoup moins connue du grand public: OpenSSL, 1 protocole largement utilise Sur les forums pour crypter le trafic Web. Mais si le pire a ete evite, la prudence est de mise.
OpenSSL, c’est quoi?
Vous voyez ce petit cadenas, accompagne de «https», a gauche d’une adresse Web, entre autres dans Yahoo.fr? Cela signifie que le trafic echange entre votre PC et le serveur est crypte, surtout Afin de couvrir des informations confidentielles comme un mot de passe ou un numero de carte bancaire. OpenSSL est une technologie open source utilisee via de multiples sites Afin de implementer des deux protocoles de cryptage nos plus communs, SSL et TLS.
Qu’est-ce qui saigne?
Notre bug a ete baptise «heartbleed» (c?ur qui saigne) avec ceux qui l’ont trouve, des chercheurs finlandais de Codenomicon et une equipe de Google Security. Cela s’agit tout d’un defaut de conception qui permet a un individu tierce de denicher des informations. A la base, la requete «heartbeat» verifie que J’ai connexion avec un serveur sera alors active, comme une sorte de «ping». Mais en ajoutant des parametres, a la place de repondre un simple «pong», le serveur crache des donnees stockees dans sa memoire vive: login, mot de passe, numero de carte bleue etc. Pire, les cles de cryptage utilisees par la page peuvent meme etre obtenues. Selon l’expert Bruce Schneier, la faille reste «catastrophique».
Combien de blogs seront concernes?
Beaucoup. Selon les experts, plus de deux tiers des serveurs Web utilisent OpenSSL, en particulier ceux sous Apache ou Nginx. La faille ne concerne malgre tout qu’une version recente, de 2011. Selon Netcraft, bien un demi-million de blogs paraissent touches. Cela parai®t que Google, Facebook, Microsoft, Twitter, Amazon ou Dropbox n’aient nullement ete concernes (ou qu’ils aient bouche la faille avant l’annonce publique). Les sites de Yahoo, Imgur, OkCupid, KickAss Torrent et du FBI, en revanche, etaient vulnerables.
Le souci corrige, la mise a jour en cours de deploiement
Les chercheurs ont travaille avec OpenSSL, et un patch a ete deploye lundi soir. Les administrateurs Web doivent mettre a jour leur serveur a J’ai derniere version (OpenSSL 1.0.1g). Divers geants du Net, comme les aiguilleurs de trafic Akamai et CloudFlare, ont visiblement ete prevenus en avance et l’ont deja fait. D’autres, comme Yahoo, l’ont decouvert jeudi matin et ont update leurs systemes en urgence.
Potentiellement, votre probleme de long terme
Il existe deux problemes. D’abord, on ne sait pas si la faille fut http://www.besthookupwebsites.org/fr/rencontres-desactivees exploitee avant qu’elle ne soit rendue publique. Surtout, un blog n’a aucun moyen de savoir si ses serveurs ont «saigne» des donnees par le passe. Selon l’expert en securite Michael Kreps, si des hackers ont reussi a derober des cles de cryptage, ils pourront nos se servir de apri?s. Pour couvrir ses utilisateurs, un blog devra deposer de nouvelles cles et renouveler son certificat de securite, ce qui coute souvent de l’argent.
Que Realiser pour l’utilisateur?
Manque grand chose. Le reseau TOR, qui permet de surfer anonymement, conseille a ses utilisateurs «de ne pas se servir de Internet pendant quelques jours», moyen que le patch soit applique partout. Cet outil permet d’essayer si un site reste vulnerable, mais il ne marche pas pour l’ensemble de. En cas de resultat positif, il ne va falloir surtout pas rentrer ses renseignements de connexion. Il est enfin probable que au sein des prochains journees, des geants comme Yahoo conseillent de reinitialiser le mot de passe. Selon Divers experts, mieux coi»te attendre 48h, pour ne point rentrer un nouveau mot de passe sur un blog encore non patche.