Categorías
three day rule fr review

INTERNET Un probleme sur les protocoles utilises pour couvrir le trafic fut corrige en urgence, mais la mise a jour doit bien etre deployee partout.

INTERNET Un probleme sur les protocoles utilises pour couvrir le trafic fut corrige en urgence, mais la mise a jour doit bien etre deployee partout.

Alors que un chacun avait les yeux tournes par Windows XP, l’apocalypse a bien failli venir d’une technologie beaucoup moins connue du grand public: OpenSSL, 1 protocole largement utilise Sur les forums Afin de crypter le trafic Web. Mais si le pire a ete evite, la prudence est de mise.

OpenSSL, c’est quoi?

Vous voyez votre petit cadenas, accompagne de «https», a gauche d’une adresse Web, pourquoi pas dans Yahoo.fr? Cela signifie que le trafic echange entre votre PC et le serveur reste crypte, notamment pour abriter des renseignements confidentielles comme un mot de passe ou un numero de carte bancaire. OpenSSL est une technologie open source utilisee via quantite de sites Afin de implementer des deux protocoles de cryptage nos plus communs, SSL et TLS.

Qu’est-ce qui saigne?

Le bug a ete baptise «heartbleed» (c?ur qui saigne) via ceux qui l’ont trouve, des chercheurs finlandais de Codenomicon et une equipe de Google Security. Il s’agit tout d’un defaut de conception qui permet a un individu tierce de denicher des precisions. A la base, la requete «heartbeat» verifie que la connexion avec 1 serveur est encore active, comme une sorte de «ping». Mais en ajoutant des parametres, au lieu de repondre un simple «pong», le serveur crache des donnees stockees dans sa memoire vive: login, mot de passe, numero de carte bleue etc. Pire, les cles de cryptage utilisees par la page peuvent meme etre obtenues. Selon l’expert Bruce Schneier, la faille reste «catastrophique».

Combien de blogs paraissent concernes?

Beaucoup. Suivant les experts, plus de deux tiers des serveurs Web utilisent OpenSSL, principalement ceux sous Apache ou Nginx. La faille ne concerne malgre tout qu’une version recente, de 2011. Selon Netcraft, au moins un demi-million de sites paraissent touches. Cela semble que Google, Facebook, Microsoft, Twitter, Amazon ou Dropbox n’aient pas ete concernes (ou qu’ils aient bouche la faille avant l’annonce publique). Mes sites de Yahoo, Imgur, OkCupid, KickAss Torrent et du FBI, en revanche, etaient vulnerables.

Le souci corrige, la mise a jour en cours de deploiement

Les chercheurs ont travaille avec OpenSSL, ainsi, un patch a ete deploye lundi soir. Mes administrateurs Web doivent mettre a jour un serveur a la derniere version (OpenSSL 1.0.1g). Plusieurs geants du Net, comme les aiguilleurs de trafic Akamai et CloudFlare, ont visiblement ete prevenus en avance et l’ont deja fait. D’autres, comme Yahoo, l’ont decouvert jeudi matin et ont update leurs systemes en urgence.

Potentiellement, votre probleme de long terme

Il existe deux problemes. D’abord, on ne sait jamais si la faille fut exploitee avant qu’elle ne soit rendue publique. Surtout, un site n’a aucun moyen de savoir si ses serveurs ont «saigne» des precisions par le passe. Selon l’expert en marketing Michael Kreps, si des hackers ont reussi a derober des cles de cryptage, ils pourront nos se servir de plus tard. Pour abriter ses utilisateurs, un blog devra deposer de nouvelles cles et renouveler le certificat de securite, cela coute souvent de l’argent.

Que Realiser Afin de l’utilisateur?

Pas grand chose. Le reseau TOR, qui permet de surfer anonymement, conseille a ses utilisateurs «de ne point se servir de Internet pendant deux jours», le temps que le patch soit applique partout. Cet outil va permettre de tenter si un site est vulnerable, mais il ne marche jamais pour tous. En cas de resultat positif, il ne faut surtout nullement rentrer ses renseignements de connexion. Il va i?tre enfin probable que dans les prochains jours, des geants comme Yahoo conseillent de reinitialiser son mot de passe. Selon Quelques experts https://besthookupwebsites.org/fr/three-day-rule-review/, plus vaut tarder 48h, pour ne point rentrer un nouveau mot de passe dans un blog encore non patche.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *