Advertisement
En 2017, Amazon Web Services étendra ses zones de disponibilités en Europe avec des datacenters à Paris, en plus de Dublin, Francfort et Londres.

L'Image du jour

En 2017, Amazon Web Services étendra ses zones de disponibilités en Europe avec des datacenters à Paris, en plus de Dublin, Francfort et Londres.

Les Fintech bousculent la finance

Dernier Dossier

Les Fintech bousculent la finance

Quelque 4 000 Fintechs existeraient dans le monde, sûrement une faible minorité d'entre elles subsistera dans les trois ans. Une chose est sûre, depui...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
2
Réagissez Imprimer Envoyer

Des chercheurs alertent sur une faille critique dans OpenSSL

La menace Heartbleed touche plusieurs versions d'OpenSSL

La menace Heartbleed touche plusieurs versions d'OpenSSL

Les experts en sécurité informatique conseillent aux administrateurs de corriger une faille critique dans OpenSSL, une librairie Open Source de protocoles de chiffrement qui est utilisé par un grand nombre de sites web.

Plusieurs spécialistes de la sécurité ont alerté les administrateurs des sites web afin qu'ils corrigent une faille importante dans OpenSSL. Cette vulnérabilité est surnommée « Heartbleed » et se trouve dans plusieurs versions d'OpenSSL, une bibbliothèque Open Source de chiffrement pour communiquer en SSL (Secure Socket Layer) ou TLS (Transport Security Layer). La plupart des sites utilise ce système de chiffrement caractérisé par la présence dans les navigateurs du symbole du cadenas. La faille a été découverte en décembre 2011, mais elle vient d'être corrigée par la version 1.0.1g d'OpenSSL publiée hier. Selon un site spécialement mis en place pour ce problème, les versions touchées vont de la 1.0.1 à 1.0.1f sauf deux exceptions, 1.0.0 branch et 0.9.8.

Si elle exploitée, cette faille ouvre la possibilité à un attaquant de surveiller toutes les informations émises entre un utilisateur et un service web ou encore de déchiffrer le trafic collecté. « Cela permet aux pirates d'espionner les communications, de voler des données directement depuis les sites ou chez les utilisateurs », souligne les chercheurs. La vulnérabilité a été découverte par trois ingénieurs de Codenicom, société spécialisée dans la sécurité, ainsi que Neel Mehta chercheur en sécurité chez Google.

Une faille touchant beaucoup de sites web


L'ampleur du problème est vaste, car de nombreux systèmes d'exploitation actuels sont soupçonnés d'intégrer une version compromise d'OpenSSL. Les chercheurs ont dressé une liste de ces OS : Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 et OpenSUSE 12.2. Les versions « oldstable » de Debian Squeeze et Linux Entreprise Server ne sont pas touchées. Le fait qu'OpenSSL soit vulnérable impacte deux des serveurs les plus largement utilisés sur le web, Apache et Nginx. Cette bibliothèque de code est également utilisée pour protéger les serveurs de messagerie, de chat et de VPN.

Le problème, estampillé CVE-2014-0160, relève de l'absence de vérification dans l'extension heartbeat de TLS, qui permet de visualiser en clair 64 ko de mémoire sur un serveur connecté. Les attaquants peuvent ainsi obtenir des clés privés pour chiffrer ce trafic et bien évidemment déchiffrer les communications passées. Les pirates peuvent accéder à seulement 64 ko de donnés mémoires sur une seule attaque, mais ils peuvent « tenter des reconnexions et essayer de garder une liaison TLS actif pour demander plusieurs séquences de 64 ko et ainsi accroître les chances d'obtenir des informations sensibles plus complètes. », expliquent les chercheurs. Les administrateurs sont donc invités à révoquer les clés et à en éditer des nouvelles, tout en appliquant la dernière version d'Open SSL

COMMENTAIRES de l'ARTICLE2

le 09/04/2014 à 16h29 par Loulou2009 (Membre) :

Pour la sécurité de vos systèmes d'information, votre spécialiste

Signaler un abus

le 08/04/2014 à 20h59 par Kilimandjaro (Membre) :

Youpee ! Les admins GNU/Linux vont (enfin) avoir un peu de boulot !

Signaler un abus

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité