Comparé au concept initial, le mobile Ara a perdu de son intérêt : impossible de changer les composants clefs de base.

L'Image du jour

Comparé au concept initial, le mobile Ara a perdu de son intérêt : impossible de changer les composants clefs de base.

Cybersécurité : quels outils pour contrer les nouvelles menaces

Dernier Dossier

Cybersécurité : quels outils pour contrer les nouvelles menaces

Les événements récents autour du ransomware Locky et du vol massif de données du cabinet panaméen Mossack Fonseca dans l'affaire des « Panama Papers »...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Heartbleed : Des erreurs dans l'application des certificats et des correctifs

À ce jour, près de 57 % des sites vulnérables à l'attaque Heartbleed n’ont ni révoqué, ni réédité leurs certificats SSL. Crédit D.R.

À ce jour, près de 57 % des sites vulnérables à l'attaque Heartbleed n’ont ni révoqué, ni réédité leurs certificats SSL. Crédit D.R.

La précipitation de certains à vouloir se protéger au plus vite contre la faille Heartbleed a conduit à des erreurs. Par exemple, certaines rééditions de certificats SSL ont repris la même clé vulnérable que celle qu'elle était censée remplacer. Parfois, certains sites ont migré leurs serveurs vers une version d'OpenSSL non corrigée.

Malgré les mesures rapides prises par certains sites pour se défendre contre l'attaque Heartbleed, certains ne s'en trouvent pas mieux protégés qu'avant, et parfois, ils sont même plus exposés. Après avoir corrigé leur version d'OpenSSL après l'attaque Heartbleed révélée le 7 avril dernier, de nombreux sites ont aussi entrepris de révoquer les certificats SSL compromis en les remplaçant par de nouveaux certificats. Mais, selon une étude réalisée par l'entreprise de services Internet Netcraft publiée vendredi, 30 000 sites ont reçu des certificats de remplacement basés sur la même clef privée compromise que les anciens. Cela signifie que toute personne qui a réussi à voler la clef privée d'un de ces serveurs avant qu'il ne soit corrigé peut toujours utiliser la clef pour tromper le serveur en menant une attaque de type « man-in-the-middle ». « Cette erreur dans les certificats est très dangereuse, parce que les opérateurs qui ont corrigé la version OpenSSL sur leurs serveurs et qui ont remplacé leurs certificats peuvent penser qu'ils ont pris toutes les mesures nécessaires pour protéger leurs utilisateurs », a prévenu Netcraft. « À ce jour, près de 57 % des sites vulnérables à l'attaque Heartbleed n'ont ni révoqué, ni réédité leurs certificats SSL », a jouté Netcraft. 21 % ont réédité leurs certificats, mais n'ont pas révoqué les certificats compromis. « Les 30 000 sites qui ont révoqué leurs certificats et qui en ont réédité de nouveaux avec la même clef privée représentent environ 5 % des sites vulnérables », toujours selon Netcraft. 2 % utilisent la même clé privée et doivent encore révoquer leurs anciens certificats. Mais, au moins, selon Netcraft, « ces sites ne sont pas plus exposés que le jour où l'attaque Heartbleed a été révélée ».

Par contre, ce n'est pas le cas des quelque 20 % de serveurs rendus vulnérables et qui ne l'étaient pas quand l'attaque a été révélée : selon une étude réalisée par le développeur de logiciels Yngve Nysæter Pettersen, il semble que certains opérateurs ont remplacé des versions sûres d'OpenSSL par des versions non corrigées. « Il est possible que le battage médiatique autour d'OpenSSL a conduit certains administrateurs à croire que leur système n'était pas sécurisé ». Plus la pression administrative et la nécessité « de ne pas rester sans rien faire », les aurait pousser « à déclencher la mise à niveau d'un serveur non affecté avec une nouvelle version non corrigée du système, probablement parce que la variante n'avait pas encore été officiellement patchée », a-t-il suggéré. Nysæter Pettersen a démarré son scan le 11 avril : au cours des deux semaines qui ont suivi, près de la moitié des serveurs vulnérables avaient été corrigés. Globalement, le nombre de serveurs tournant avec une version vulnérable d'OpenSSL a baissé de 5,36 % à 2,77 %. Cependant, l'application de correctif sur les serveurs vulnérables a presque complètement cessé. « Mercredi dernier, 2,33 % des serveurs n'avaient toujours pas été corrigés », a-t-il encore ajouté.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité