Les documents d'Edward Snowden montrent que la NSA et son homologue britannique GCHQ interceptaient aussi les données mobiles (voix/data) des passengers.

L'Image du jour

Les documents d'Edward Snowden montrent que la NSA et son homologue britannique GCHQ interceptaient aussi les données mobiles (voix/data) des...

Les 10 tendances technologiques en 2017

Dernier Dossier

Les 10 tendances technologiques en 2017

Comme chaque année, la rédaction du Monde Informatique a établi une liste des 10 tendances technologiques à venir ou qui vont se poursuivre en 2017....

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

OpenSSL corrige un problème dans sa librairie de chiffrement

La sécurité d'OpenSSL avait été mise à mal en 2014 et 2015 avec les vulnérabilités critiques Heartbleed et Freak. (crédit : D.R.)

La sécurité d'OpenSSL avait été mise à mal en 2014 et 2015 avec les vulnérabilités critiques Heartbleed et Freak. (crédit : D.R.)

Un problème lié à la librairie de chiffrement affectant les versions 1.0.1 et 1.0.2 d'Open SSL a été patché. Les applications utilisant OpenSSL dont l'option de réutilisation des nombres premiers n'a pas été changée ne sont pas concernées.

Après avoir connu de sérieuses déconvenues -en 2014 avec la faille de sécurité Heartbleed puis en 2015 avec une autre Freak - OpenSSL Project vient d'apporter un correctif pour un problème détecté dans sa librairie de chiffrement. Un problème sans commune mesure en termes de gravité avec les deux précédentes vulnérabilités et n'affectant pas la plupart des applications ayant implémenté la célèbre boite à outil open source permettant d'implémenter une brique de chiffrement SSL et TLS.

OpenSSL est embarqué dans les serveurs web Apache et Nginx, sachant que sa librairie de chiffrement est également utilisée pour protéger des serveurs de messagerie, de chat, réseaux privés virtuels et d'autres appliances réseaux.

Des mises à jour disponibles 

La librairie en question est très largement utilisée dans des applications pour sécuriser des transferts de données et la vulnérabilité concerne les versions 1.0.1 et 1.0.2 d'OpenSSL, sachant que des mises à jour 1.0.1.r et 1.0.2f ont été proposées. Dans certains cas, OpenSSL réutilise des nombres premiers quand le protocole Diffie-Hellman est utilisé, ce qui pourrait permettre à un attaquant de casser le chiffrement. Mais il faut pour cela que ce dernier effectue de multiples handshakes (authentification, hachage et échange de clés symétriques) avec l'ordinateur qu'il tente de compromettre. 

Cependant, l'option qui réutilise des nombres premiers n'est pas activée par défaut, et la plupart des applications ne sont sans doute pas exposées si cette option n'a pas été changée, selon une note de sécurité d'OpenSSL Project.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
35 ans
25 Janvier 2002 n°923S
Publicité
Publicité