Bardées de capteurs, les automobiles se préparent à passer à la conduite autonome.

L'Image du jour

Bardées de capteurs, les automobiles se préparent à passer à la conduite autonome.

Voiture autonome : les acteurs sont en place, que la course commence !

Dernier Dossier

Voiture autonome : les acteurs sont en place, que la course commence !

Le Mondial de l'Automobile ouvre ses portes à Paris du 1 au 16 octobre au parc des Expositions porte de Versailles. A l'occasion de cette édition, les...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
2
Réagissez Imprimer Envoyer

Nouvelle faille OpenSSL ? Un canular selon les experts

La faille OpenSSL vendue par un groupe de hackers sur Pastebin serait en fait une belle arnaque.

La faille OpenSSL vendue par un groupe de hackers sur Pastebin serait en fait une belle arnaque.

Des pirates prétendent avoir trouvé une nouvelle vulnérabilité dans la bibliothèque OpenSSL corrigée début avril et ils vendent leur information 2,5 bitcoins. Mais les experts en sécurité sont très dubitatifs.

Un groupe de cinq pirates affirme sur Pastebin avoir travaillé pendant deux semaines pour trouver le bogue et pour développer le code permettant d'exploiter une nouvelle vulnérabilité d'OpenSSL. Ils vendent leur exploit 2,5 bitcoins, l'équivalent de 870 dollars environ. La présence d'une nouvelle faille dans OpenSSL pourrait constituer une menace aussi sérieuse que Heartbleed. Mais la revendication des pirates a été accueillie avec suspicion sur le forum de discussion Full Disclosure, où sont débattus les rapports de vulnérabilité. Un commentateur, Todd Bennett, estime que la façon dont ils décrivent techniquement la faille est « assez extravagante ». Le code Open Source OpenSSL est utilisé par des millions de sites Web pour crypter et sécuriser les communications entre ordinateurs clients et serveurs. La faille décrite début avril, surnommée « Heartbleed », peut permettre à des attaquants de récupérer les informations de connexion ou la clé SSL privée du serveur. Selon McAfee, « à ce jour, plus des deux tiers des sites touchés par la faille ont patché leur version d'OpenSSL ».

Débordement de la mémoire tampon

Les pirates prétendent avoir trouvé une vulnérabilité provoquant un débordement de la mémoire tampon, similaire à Heartbleed. Selon eux, il y a un défaut de vérification de boucle dans le traitement de la variable « DOPENSSL_NO_HEARTBEATS ». « Nous pourrions parvenir à déborder le « DOPENSSL_NO_HEARTBEATS » et récupérer à nouveau des bouts de données de 64 ko dans la version mise à jour », disent-ils. Étant donné qu'ils n'ont pas publié leur code d'exploitation, il n'y a aucun moyen de vérifier ce qu'ils affirment. Le groupe a communiqué une adresse e-mail pour recevoir des questions éventuelles, mais il n'a pas immédiatement répondu à une demande envoyée par nos confrères d'IDG News Service.

Une recherche sur Google indique que la même adresse mail a été utilisée dans d'autres ventes de code sur Pastebin. Au mois de mars, cette adresse a été utilisée dans une annonce proposant des données en provenance de la plateforme d'échange de bitcoins Mt Gox basée à Tokyo qui a déposé le bilan après un piratage. La même publicité annonce proposait également des informations provenant de sites qui revendent des données de cartes de crédit volées, et des données d'une autre plateforme d'échange de monnaie virtuelle CryptoAve, également attaquée par des pirates. Souvent, des cybercriminels essayent de se faire de l'argent en prétendant qu'ils détiennent des données susceptibles d'intéresser la communauté des hackers.

Des fonds enfin levés pour assurer le développement d' OpenSSL

Depuis la découverte de la faille Heartbleed, les développeurs se sont mobilisés pour renforcer la sécurité des produits Open Source les plus populaires. Le projet OpenSSL, par exemple, ne disposait que d'une personne à plein temps et recevait 2 000 dollars de dons pour son fonctionnement annuel malgré le rôle capital de ce code dans la protection des communications Internet. Jeudi dernier, un groupe d'entreprises et d'institutions ont lancé le projet Core Infrastructure Initiative pour lever des fonds pour rémunérer les développeurs qui travaillent à temps plein sur d'importants produits Open Source. Dans le groupe, on trouve notamment Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware et la Fondation Linux.

COMMENTAIRES de l'ARTICLE2

le 29/04/2014 à 18h18 par Visiteur3982 :

Tout à fait MrEddy. Je ne vais pas faire comme beaucoup de commentaire que j'ai lu à ce sujet ... (pointant du doigt un développeur Allemand ...) Quand sa marche personne pour dire merci, mais quand sa merde, faut pointer quelqu'un ... Lamentable. Sauf que là il se sont appercus que le mec était plus ou moins seul sur un projet de cet importance... Je fais un gros gros clin d'oeil à ce monsieur qui donne autant de son temps gratuitement (pour 2000 par an ... autant dire 0). Une belle preuve de sa volonté. Je suis avec toi mec ;)

Signaler un abus

le 29/04/2014 à 17h52 par MrEddy (Membre) :

Bonsang. 2000 $ par ans pour maintenir le code de la plateforme de sécurité la plus utilisée... Il ne faut peut être pas plus qu un seul homme sachant ce qu il fait pour maintenir openssl. Trop d'argent n'aurait pas de sens. MAis quant meme. Les grands acteur de l'informatique absent d'une tel entreprise , ca fait quant meme désordre.

Signaler un abus

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
35 ans
19 Mai 1986 n°235
Publicité
Publicité