Brook Preloader

INTERNET Un probleme i  propos des protocoles utilises Afin de couvrir le trafic a ete corrige en urgence, mais la mise a jour devra i  nouveau etre deployee partout.

INTERNET Un probleme i  propos des protocoles utilises Afin de couvrir le trafic a ete corrige en urgence, mais la mise a jour devra i  nouveau etre deployee partout.

Alors que individu avait les yeux tournes par Windows XP, l’apocalypse a bien failli venir d'une technologie bien moins connue du grand public: OpenSSL, votre protocole largement utilise web pour crypter le trafic Web. Mais si le pire fut evite, la prudence reste de mise.

OpenSSL, c'est quoi?

Vous voyez votre petit cadenas, accompagne de «https», a gauche d'une adresse Web, comme sur Yahoo.fr? Cela signifie que le trafic echange entre votre PC et le serveur est crypte, surtout Afin de proteger des informations confidentielles comme un mot de passe ou un numero de carte bancaire. OpenSSL est une technologie open source utilisee via de multiples sites pour implementer des deux protocoles de cryptage nos plus communs, SSL et TLS.

Qu'est-ce qui saigne?

Notre bug fut baptise «heartbleed» (c?ur qui saigne) avec ceux qui l'ont trouve, des chercheurs finlandais de Codenomicon et une equipe de Google Security. Cela s'agit tout d'un defaut de conception qui permet a un individu tierce de recuperer des informations. A la base, la requete «heartbeat» verifie que J'ai connexion avec un serveur sera alors active, comme une sorte de «ping». Mais en ajoutant des parametres, i  la place de repondre un simple «pong», le serveur crache des precisions stockees au sein d' sa memoire vive: login, mot de passe, numero de carte bleue etc. Pire, les cles de cryptage utilisees par la page peuvent meme etre obtenues. Selon l'expert Bruce Schneier, la faille reste «catastrophique».

Combien de sites seront concernes?

Beaucoup. Selon les experts, plus de deux tiers des serveurs Web utilisent OpenSSL, notamment ceux sous Apache ou Nginx. La faille ne concerne malgre tout qu'une version recente, de 2011. Selon Netcraft, bien un demi-million de sites seront touches. Il parait que Google, Facebook, Microsoft, Twitter, Amazon ou Dropbox n'aient gui?re ete concernes (ou qu'ils aient bouche la faille avant l'annonce publique). Mes sites de Yahoo, Imgur, OkCupid, KickAss Torrent et du FBI, en revanche, etaient vulnerables.

Le probleme corrige, la mise a jour en cours de deploiement

Les chercheurs ont travaille avec OpenSSL, ainsi, un patch a ete deploye lundi apri?m. Mes administrateurs Web doivent mettre a jour un serveur a J'ai derniere version (OpenSSL 1.0.1g). Divers geants du Net, comme les aiguilleurs crГ©er un compte sugardaddie de trafic Akamai et CloudFlare, ont visiblement ete prevenus en avance et l'ont deja fait. D'autres, comme Yahoo, l'ont decouvert jeudi matin et ont update leurs systemes en urgence.

Potentiellement, votre probleme de long terme

Ils font 2 problemes. D'abord, on ne sait nullement si la faille fut exploitee avant qu'elle ne soit rendue publique. Surtout, un site n'a aucun moyen de savoir si ses serveurs ont «saigne» des precisions par le passe. Selon l'expert en marketing Michael Kreps, si des hackers ont reussi a derober des cles de cryptage, ils pourront les choisir apri?s. Pour abriter ses utilisateurs, un blog devra deposer de nouvelles cles et renouveler son certificat de securite, cela coute souvent de l'argent.

Que faire Afin de l'utilisateur?

Pas grand chose. Le reseau TOR, qui permet de surfer anonymement, conseille a ses utilisateurs «de ne pas choisir Internet pendant plusieurs jours», moyen que le patch soit applique partout. Cet outil permettra de tester si un blog est vulnerable, mais il ne marche pas pour tous. En cas de resultat positif, il ne faut surtout pas rentrer ses renseignements de connexion. C'est enfin probable que en prochains journees, des geants comme Yahoo conseillent de reinitialiser le mot de passe. Selon certains experts, plus coi»te recevoir 48h, pour ne point rentrer un nouveau commentaire de passe dans un blog encore non patche.