Bug Heartbleed : un demi-million de sites affectés. Faites le test - L'atelier

Accueil

Cette actualité a été publiée le 12/04/2014 à 17h59 par Exo007.


BUG HEARTBLEED : UN DEMI-MILLION DE SITES AFFECTÉS. FAITES LE TEST

  • Google+
  • FaceBook
  • Twitter
  • Linked in
  • Tumblr
  • Google+  FaceBook   Twitter
  • LinkedIn  Tumblr
SOMMAIRE de Demain l'Homme - Accès aux derniers articles quotidiens du module principal WikiSurTerre
Bug Heartbleed : un demi-million de sites affectés. Faites le test

 

Le bug de sécurité Heartbleed débusqué dans la bibliothèque de chiffrement OpenSSL a touché près de 17 % des serveurs Web sécurisés, soit un demi-million de sites. Des outils permettent de savoir si un site est vulnérable.

Même s'il est marqué par la fin du support de Windows XP, ce n'est pas le Patch Tuesday de Microsoft qui occupe le plus les esprits en matière de sécurité informatique mais le bug baptisé Heartbleed.

Mis au jour par Codenomicon et un chercheur de Google Security, ce gros bug touche certaines versions de la bibliothèque de chiffrement OpenSSL au niveau de l'implémentation du protocole TLS pour la sécurisation des échanges. Plus exactement, c'est au niveau de l'intégration de l'extension heartbeat de TLS qui permet de s'assurer qu'une session est toujours active.

Pour ce bug théoriquement présent depuis au moins deux ans à la suite d'un ajout dans OpenSSL 1.0.1 (a-t-il été exploité pendant ce laps de temps ?), Netcraft estime que près de 17 % des serveurs Web sécurisés ont été affectés, soit un demi-million de sites touchés.

Parmi les sites populaires concernés ou qui l'ont été jusqu'à récemment, Netcraft cite notamment Yahoo, Tumblr, Twitter, Dropbox, Steam ou encore le moteur de recherche DuckDuckGo. Annoncé lundi, un patch pour OpenSSL 1.0.1g permet de corriger le bug mais son déploiement peut mettre du temps.

(...)

S'il n'est pas exhaustif, un outil en ligne créé par Filippo Valsorda permet à un utilisateur de savoir si des sites Web sont actuellement vulnérables à la faille dans OpenSSL. Le temps que la situation revienne au calme, cela vaut le coup d'oeil avant de saisir des identifiants dans un site disponible ICI

Un outil similaire pour tester des serveurs HTTPS est également disponible ici

En plus d'appliquer le patch, les administrateurs de serveurs vont devoir révoquer des clés de chiffrement pour en générer de nouvelles. Il existe en effet le risque que des attaquants aient pu en voler.

(...)

 

Pour lire la totalité, cliquer ICI

 

Un article de Jérôme G, publié par generation-nt.com et relayé par SOS-planete

 

Voir aussi : Faille Heartbleed : les sites pour lesquels il est conseillé de changer son mot de passe

 

En 1969, l'homme a marché sur la Lune. Aujourd'hui, il marche sur la tête;o) UCA

Le Pape François met en garde contre la pensée unique

 

 

L'Actualité vraie sur votre mobile du site étrange qui dérange même les anges !

 





Auteur : Jérôme G

Source : www.generation-nt.com