Couteaux des Gaules et d'Ailleurs Index du Forum Couteaux des Gaules et d'Ailleurs
les couteaux Régionaux des Gaules et d'Ailleurs
 
 FAQFAQ   RechercherRechercher   MembresMembres   GroupesGroupes   S’enregistrerS’enregistrer 
 ProfilProfil   Se connecter pour vérifier ses messages privésSe connecter pour vérifier ses messages privés   ConnexionConnexion 

L'Enorme Faille de Sécurité Internet: Heartbleed
Aller à la page: 1, 2  >
 
Poster un nouveau sujet   Répondre au sujet    Couteaux des Gaules et d'Ailleurs Index du Forum -> Autres que les couteaux
Sujet précédent :: Sujet suivant  
Auteur Message
Admin Bernie
Administrateur

Hors ligne

Inscrit le: 28 Sep 2009
Messages: 8 276

MessagePosté le: Ven 11 Avr - 23:42 (2014)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

Robin Seggelmann, l'homme par qui l'énorme faille Heartbleed
est arrivée!!!!!!!!!!!!!!

Vendredi 11 avril 2014

Un développeur allemand est à l'origine de la faille de sécurité OpenSSL. Mais il assure ne pas l'avoir
introduit de manière délibérée, et encore moins pour une agence de renseignement!!!!!!!!!

Personne ne le connaissait il y a encore quelques jours, il est désormais une star planétaire. En tous les cas dans
le milieu de la sécurité informatique. Robin Seggelmann, la trentaine passée, résidant de la ville allemande Münster,
auteur d'une thèse universitaire sur les communications sécurisées et... responsable de la désormais célèbre faille
«Heartbleed».
Interrogé par le Sydney Morning Herald, il explique avoir participé au développement du protocole OpenSSL il y a
deux ans. «J'ai corrigé beaucoup de bogues et introduit de nouvelles fonctionnalités. Malheureusement, dans une
de ces fonctionnalités, j'ai oublié de vérifier une variable qui contenait une longueur d'un message protocolaire,»,
explique-t-il. Or, c'est justement cette non-vérification qui est à l'origine de l'énorme faille «Heartbleed» (une bonne
explication technique est disponible sur le blog de Lexsi). Normalement, dans les processus de codage open source,
il y a toujours une personne qui relit un nouveau code écrit par un contributeur. Manque de bol, cette erreur de
programmation n'a pas non plus été remarquée par l'examinateur en question, un certain Dr Stephen Henson,
également spécialiste en sécurité informatique d'origine britannique. L'erreur de codage est donc restée, pour être
implémentée ensuite sur la plupart des serveurs web. C'est un bel exemple de la fameuse loi de Murphy:
«Quand un truc peut mal tourner, il va forcément mal tourner».

Théorie du complot
Certains internautes, toutefois, ont du mal à croire à la malchance et ont échafaudé des thèses conspirationnistes.
Dans un forum spécialisé, un certain Gomyway explique par exemple que Robin Seggelmann «est un employé de T-
System International GmbH, qui est une société détenue par le gouvernement allemand» et que Dr Stephen Henson
«n'habite pas très loin du quartier général du GCHQ en Grande-Bretagne». Tiens donc. Ces deux compères étaient-ils
en réalité à la solde de la NSA pour introduire, ni vu ni connu, une porte dérobée dans le protocole OpenSSL?
M.Seggelmann comprend qu'il puisse être «séduisant» de croire pareille chose, surtout après toutes les révélations
d'Edward Snowden. «Mais dans ce cas, il s'agissait d'une simple erreur de programmation dans une nouvelle fonction,
et tout cela s'est malheureusement passé dans un domaine lié à la sécurité. Ce n'était pas volontaire du tout»,
explique-t-il, précisant qu'il ne fait partie d'aucune agence de renseignement. Toutefois, il estime qu'il est tout à fait
possible que ce bogue ait été exploité en douce par certains gouvernements. Mais personne ne le saura jamais.
La morale de l'histoire est qu'il faut davantage de développeurs dans les projets open source tel qu'OpenSSL pour
vérifier les lignes de code. Avis aux amateurs...
Lire: Faille Heartbleed, testez la vulnérabilité de vos services en ligne!!!!!!!!!!!
__________________
Ce qu'il faut d'Urgence aux Humains, c'est une Nouvelle Pensée sur le Réel!!!!!!!
http://www.youtube.com/watch?v=hMkdhVQMBHY
http://www.youtube.com/watch?v=L4g6IKiiZM0
https://www.youtube.com/watch?v=U9AL0p8t-Ww
https://www.youtube.com/watch?v=pwKG_5hIqm8


Dernière édition par Admin Bernie le Mar 10 Juin - 23:44 (2014); édité 1 fois
Revenir en haut
Visiter le site web du posteur
Publicité






MessagePosté le: Ven 11 Avr - 23:42 (2014)    Sujet du message: Publicité

PublicitéSupprimer les publicités ?
Revenir en haut
Admin Bernie
Administrateur

Hors ligne

Inscrit le: 28 Sep 2009
Messages: 8 276

MessagePosté le: Ven 11 Avr - 23:52 (2014)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

Faille Heartbleed: quels sites sont concernés?


Vendredi 11 avril 2014

Plusieurs sites proposent des outils d'analyse gratuits pour savoir si un service en ligne
est correctement sécurisé vis-à-vis de l'inquiétante faille OpenSSL. A consulter si vous
êtes du genre anxieux.

Révélée mercredi par un groupe de chercheurs en sécurité, l'énorme faille Heartbleed a créé un véritable
branle-bas de combat parmi les administrateurs système, pour patcher au plus vite leurs serveurs. Car,
évidemment, personne n'a envie d'être épinglé sur Twitter pour avoir des services en ligne mal sécurisés.
C'est d'ailleurs ce qui est arrivé à Yahoo, qui s'est fait hacker en beauté par Fox-IT, une société spécialisée
en cybersécurité. Preuve, d'ailleurs, que l'exploitation de cette faille n'est pas si compliquée. Depuis, Yahoo
a mis à jour ses serveurs.

Testez la vulnérabilité de vos services en ligne
Pour savoir si les services en ligne que vous utilisez sont bien sécurisés, c'est simple: il suffit de faire le test.
Plusieurs développeurs ont créé des analyseurs protocolaires taillés sur mesure pour détecter une éventuelle
vulnérabilité. L'italien Filippo Valsorda a créé le page filippo.io/Heartbleed. Il suffit de rentrer une URL pour
savoir si le serveur associé est vulnérable ou non. La société lituanienne Possible a également créé un outil
d'analyse (possible.lv/tools/hb/). Il est légèrement plus complet quant au bilan de vulnérabilité. Enfin, la
société française Qualys a également intégré un test de vulnérabilité Heartbeat dans son outil d'analyse SSL
Server Test. Celui-ci fait un check-up complet de la sécurité SSL d'un site web. Les géants du web - Google,
Facebook, Twitter, Amazon... - sont tous protégés. Le web français a également bien réagi. Nous avons testé
toute une série de sites français dans le domaine bancaire, de l'e-commerce ou de la messagerie. Tous ont été
patchés. Bravo. Lire aussi: Comment le ministère des finances espionne le trafic web de ses collaborateurs
__________________
Ce qu'il faut d'Urgence aux Humains, c'est une Nouvelle Pensée sur le Réel!!!!!!!
http://www.youtube.com/watch?v=hMkdhVQMBHY
http://www.youtube.com/watch?v=L4g6IKiiZM0
https://www.youtube.com/watch?v=U9AL0p8t-Ww
https://www.youtube.com/watch?v=pwKG_5hIqm8
Revenir en haut
Visiter le site web du posteur
Admin Bernie
Administrateur

Hors ligne

Inscrit le: 28 Sep 2009
Messages: 8 276

MessagePosté le: Ven 11 Avr - 23:57 (2014)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

Heartbleed, comment se protéger du pire cauchemar des échanges
sécurisés sur Internet?

Vendredi 11 avril 2014


Depuis mercredi dernier, Internet est secoué par la découverte d'une très importante
faille de sécurité. Certains parlent du pire cauchemar pour les échanges sécurisés sur
la toile. Que faut-il faire pour faire face à Heartbleed?


Internet est le réseau des réseaux. Ce grand maillage d'ordinateurs au niveau mondial est une
solution passive à la grande propriété de prendre en charge de multiples protocoles. Il ne dispose
par définition d'aucune identité propre puisque toutes sortes de données peuvent transiter (vidéo,
photo, texte, données….).

Heartbleed, le pire cauchemar des échanges sur Internet.
Le protocole OpenSSL est aujourd'hui exploité sur très grand nombre de serveurs afin de proposer
entre l'utilisateur et l'infrastructure informatique en ligne un dialogue chiffré. Cette connexion
sécurisée se reconnait facilement par l'apparition du « s » à la fin de « http » dans l'URL. La faille
révélée ce mercredi 11 avril 2014 touche malheureusement l'OpenSSL. Elle a été baptisée
«Heartbleed». Elle serait loin d'être anecdotique puisque certains évoquent «le pire cauchemar»
concernant la sécurité des échanges sur Internet. La faille serait si importante qu'elle permettrait à
des pirates informatiques de pouvoir récupérer tout ce qu'ils souhaitent concernant des données
hébergées d'un utilisateurs, citons ses identifiants, ses codes de cartes bancaires, etc.).

Heartbleed, comment agir pour protéger ses données?
Aux yeux de Emmanuel Schalit, CEO de Dashlane, «Heartbleed» est l'une des plus importantes
failles découverte sur Internet depuis 10 ans et il est impossible de connaître l'étendue des
dommages qui ont eu lieu avant le 7 avril ou même depuis. Il explique que Heartbleed «arrive
comme une piqure de rappel de deux faits importants lié à la sécurité personnelle sur Internet»
et avance deux conseils à mettre en œuvre le plus rapidement possible,
1. Il est vital d'utiliser un mot de passe diffèrent sur chaque site web. Cela limite les risques, même
en cas d'une faille – les dommages ne pourront s'étendre. Si vous réutilisez le même mot de passe
sur plusieurs sites web, vous êtes clairement exposé et vous devriez modifier cela au plus vite.
2. Vous devriez changer tous vos mots de passe le plus rapidement possible car chacun d'entre eux
a pu être dérobé, et vous assurez que vous utilisez un mot de passe différent pour chaque site web.
De plus, pour les sites web les plus importants, vous devriez probablement changer vos mots de
passe dans les 10 jours, au cas où les sites en questions n'auraient pas encore appliqué les correctifs
nécessaires depuis le 7 avril.
Heartbleed permet une nouvelle fois de prendre conscience que le monde numérique est impossible à
sécuriser de manière sure à 100%. L'utilisateur doit avant tout ne jamais faire confiance à un service
et surtout s'armer pour sa propre sécurité de mots de passe «forts» et «uniques» sur chaque site web
qu'il consulte.



__________________
Ce qu'il faut d'Urgence aux Humains, c'est une Nouvelle Pensée sur le Réel!!!!!!!
http://www.youtube.com/watch?v=hMkdhVQMBHY
http://www.youtube.com/watch?v=L4g6IKiiZM0
https://www.youtube.com/watch?v=U9AL0p8t-Ww
https://www.youtube.com/watch?v=pwKG_5hIqm8
Revenir en haut
Visiter le site web du posteur
Admin Bernie
Administrateur

Hors ligne

Inscrit le: 28 Sep 2009
Messages: 8 276

MessagePosté le: Sam 12 Avr - 00:50 (2014)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

Une énorme faille de sécurité dans la plupart des connexions
web chiffrées!!!!!!!!!!!!!!!!



Mardi 8 avril 2014 15:18 GMT

Un bug dans le protocole OpenSSL permet d'accéder aux échanges cryptés d'un grand nombre
de services en ligne: messageries, banque en ligne, VPN, chat... Même le réseau d'anonymisation
Tor est concerné!!!!!!!


Des chercheurs en sécurité ont dévoilé une faille de sécurité très critique dans le protocole OpenSSL, utilisé
par presque deux tiers des serveurs web pour chiffrer les échanges avec les utilisateurs. Par exemple pour
accéder à un compte de messagerie, à un service bancaire, à des réseaux privés virtuels (VPN), à des
serveurs de chat, etc. Même le réseau Tor est, dans une certaine mesure, impacté. Plus concrètement,
il s'agit d'un bogue dans une librairie intitulée « Heartbeat Extension » qui, dans certaines conditions, provoque
une fuite de données au niveau du serveur. C'est pourquoi les chercheurs l'ont appelé «The Heartbleed Bug»,
le bogue du cœur saignant. Un nom très poétique pour un risque particulièrement grave.

Accès aux clés privées
L'exploitation de cette faille donnerait accès aux clés privées utilisées pour chiffrer le trafic et, par conséquent,
à la totalité du contenu qui circule, y compris les éventuels identifiants et mots de passe liés aux services web.
Par ailleurs, comme le précisent les chercheurs, une telle attaque ne laisserait aucune trace anormale dans les
logs. Dans le cas d'un service bancaire en ligne, un cybercriminel pourrait donc siphonner les données de tous
les utilisateurs qui s'y connectent sans que les administrateurs ne s'en rendent compte. Le braquage parfait.
Cette faille est d'autant plus préoccupante qu'elle existe depuis maintenant deux ans et que le risque qu'elle
ait déjà été exploitée est loin d'être faible. A ce titre, les chercheurs sollicitent l'aide de la communauté des
chercheurs en sécurité pour déployer des « pièges à miel » (honeypot) pour voir si des attaques sont mises
en œuvre actuellement. En effet, même si l'attaque ne laisse aucune trace concrète, elle peut néanmoins être
détectée par des systèmes de détection d'intrusion, à condition de bien les paramétrer.

Un patch est disponible
La bonne nouvelle, c'est que seule la dernière version d'OpenSSL (1.0.1) est concernée et qu'il existe d'ores et
déjà une mise à jour (1.0.1g), que les administrateurs systèmes sont encouragés à installer le plus rapidement
possible. Potentiellement, cela peut concerner un assez grand nombre de systèmes d'exploitation, dont Debian,
Ubuntu, CentOS, Fedora, OpenBSD, FreeBSD, NetBSD et OpenSuse. Les utilisateurs finals, qui utiliseraient
également l'un de ces systèmes sur un poste de travail Linux, sont également invités à se mettre à jour. Il faut
également changer tous les certificats de chiffrement SSL, évidemment. Toutefois, même en mettant à jour tous
les systèmes, on ne pourra pas réparer le mal qui a été fait (s'il a été fait). Les cyberfilous qui ont réussi à mettre
la main sur des clés de chiffrement SSL puis enregistrer tous les échanges pendant quelques mois (ce que fait la
NSA par exemple), ont tout le temps pour déchiffrer tranquillement toutes ces données. Lire aussi: Chiffrement
sur le Web, FBI et NSA voulaient obtenir les clés SSL de géants du Net, 26/07/2013Votre patron espionne-t-il
vos communications cryptées?
__________________
Ce qu'il faut d'Urgence aux Humains, c'est une Nouvelle Pensée sur le Réel!!!!!!!
http://www.youtube.com/watch?v=hMkdhVQMBHY
http://www.youtube.com/watch?v=L4g6IKiiZM0
https://www.youtube.com/watch?v=U9AL0p8t-Ww
https://www.youtube.com/watch?v=pwKG_5hIqm8
Revenir en haut
Visiter le site web du posteur
Admin Bernie
Administrateur

Hors ligne

Inscrit le: 28 Sep 2009
Messages: 8 276

MessagePosté le: Sam 12 Avr - 01:26 (2014)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

La faille Heartbleed menace les données "sécurisées"
sur internet!!!!!!!!!!!!!!!!!!!!!!!

Mercredi 9 avril 2014

La confiance en internet a pris un nouveau coup avec la découverte d'une importante faille de sécurité
dans un logiciel de cryptage utilisé par la moitié des sites, et censé protéger mots de passe et autres
données bancaires.
La faille, baptisée "Heartbleed" ("coeur qui saigne"), touche certaines versions d'OpenSSL, un logiciel libre
très utilisé pour les connexions sécurisées sur internet, matérialisées par exemple par une adresse démarrant
par https ou un petit cadenas lors des transactions bancaires et de l'identification sur un site internet.
Ce type de connexion sert aussi souvent pour les messageries instantanées, les échanges de courriels, ou les
réseaux privés VPN.
Elle peut permettre à des pirates de récupérer dans la mémoire des serveurs informatiques des données fournies
lors de connexions protégées, selon des spécialistes de la société de sécurité informatique Fox-IT. Cette dernière
estime que la faille existe depuis une version d'OpenSSL sortie il y a deux ans environ.
Le collectif qui est derrière OpenSSL a publié une alerte de sécurité et recommandé à ses utilisateurs de passer à
une version améliorée du logiciel. Il précise que c'est un chercheur de Google Security, Neel Mehta, qui a découvert
la faille.
"Attendez-vous à ce que tous ceux qui gèrent un serveur internet (sécurisé) https se démènent aujourd'hui", prévient
le Tor Project, un autre collectif qui défend l'anonymat en ligne, dans un avertissement sur son site internet.
Et de suggérer, pour ceux qui ont "besoin de vrai anonymat ou de protection de leur vie privée sur internet" de "rester
complètement à l'écart d'internet dans les prochains jours, le temps que les choses soient réglées".
Le conseil a été suivi en partie par les services fiscaux canadiens, qui ont désactivé mercredi la partie de leur site
internet permettant aux contribuables d'accéder à leurs dossiers fiscaux, en invoquant Heartbleed.

- "Joyaux de la couronne" -
Parmi les informations susceptibles d'êtres récupérées par les pirates figurent des codes sources (des fichiers qui
rassemblent les instructions que doit exécuter un microprocesseur), des mots de passe, et des "clés" utilisées pour
accéder à des données cryptées ou imiter un site.
"Ce sont les joyaux de la couronne, les clés de cryptage elles-mêmes", souligne heartbleed.com, un site internet mis
en place pour détailler les caractéristiques de la faille: elles "permettent aux pirates de décrypter toutes les connexions
passées et à venir avec les services protégés".
La faille ne concerne pas toutes les versions d'OpenSSL. Elle ne permet pas à un pirate d'obtenir plus de 64 kilo-octets
de données à la fois, ni de contrôler précisément à quelle partie de la mémoire du serveur informatique il accède, selon
des spécialistes en sécurité informatique.
Mais les pirates peuvent procéder à des attaques en série sur le même serveur pour augmenter leurs chances de pêcher
des informations de valeur. "Le nombre d'attaques qu'ils peuvent effectuer est sans limite", prévient Fox-IT dans un billet
recensant les procédures à suivre pour repousser les incursions.
Des spécialistes en cyber-sécurité disent avoir utilisé la faille pour récupérer des mots de passe pour les services du
groupe internet américain Yahoo!. Ce dernier a affirmé mardi dans un communiqué avoir résolu le problème.
On ne sait pas encore si Heartbleed a été effectivement exploitée par des pirates, mais les gestionnaires de site ayant
utilisé des versions compromises d'OpenSSL doivent passer à des versions plus sûres ou procéder à des mises à jour de
sécurité développées en urgence.
Ils devront aussi changer les identifications de sécurité permettant aux navigateurs de confirmer leur authenticité. Si des
pirates ont mis la main dessus, ils pourraient en effet créer des copies frauduleuses de leur site, avec l'objectif de tromper
les internautes en vue de récupérer davantage de données.
Certains experts conseillent aussi aux internautes de modifier par précaution les mots de passe des comptes ou services
en ligne qu'ils veulent protéger.
__________________
Ce qu'il faut d'Urgence aux Humains, c'est une Nouvelle Pensée sur le Réel!!!!!!!
http://www.youtube.com/watch?v=hMkdhVQMBHY
http://www.youtube.com/watch?v=L4g6IKiiZM0
https://www.youtube.com/watch?v=U9AL0p8t-Ww
https://www.youtube.com/watch?v=pwKG_5hIqm8
Revenir en haut
Visiter le site web du posteur
Admin Bernie
Administrateur

Hors ligne

Inscrit le: 28 Sep 2009
Messages: 8 276

MessagePosté le: Sam 12 Avr - 02:36 (2014)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

Pourquoi cette faille béante de sécurité est si effrayante?

Mercredi 9 avril 2014 09:55 GMT

Depuis une bonne quinzaine d'années, nous nous sommes sentis en sécurité sur Internet
Le site de votre banque gère vos informations sereinement. Quiétude. Enfin, si l'on occulte
ce bug découvert qui se cache dans l'une des mesures de sécurité les plus importantes de
l'Internet. Entrez dans le monde de Heartbleed

Poignées de main secrètes
Le cœur des transactions sécurisées sur Internet repose sur la technologie appelée Secure
Sockets Layer (SSL) et également sa petite soeur, à savoir Transport Layer Security (TLS).
Globalement, les deux font la même chose, et sont à l'origine de deux petites choses que
vous connaissez bien. Vous pouvez remercier TLS / SSL pour le cadenas qui apparaît à côté
de l'adresse d'un site Web sécurisé, et les https://
"En bref, SSL/TLS est une clé cryptographique qui permet au navigateur et au serveur de
savoir mutuellement qui ils sont et s'ils peuvent ou non travailler main dans la main.
Concrètement, c'est une poignée de main numérique secrète qui maintient vos informations
financières en sécurité lorsque vous effectuez un paiement."
TLS / SSL est un pan entier de l'Internet tel que nous le connaissons aujourd'hui, et
heureusement, il fonctionne encore très bien. Alors, qu'est-ce qui cause la violation de la
bibliothèque logicielle appelée OpenSSL.
OpenSSL est une boîte à outils de chiffrement comportant deux bibliothèques et une interface
en ligne de commande. Cet utilitaire et les bibliothèques associées sont disponibles pour la
plupart des OS.
Concrètement, il s'agit essentiellement d'un paquet open-source que les gens peuvent utiliser
pour obtenir la protection par chiffrement TLS / SSL de façon rapide et facile. Le problème ?
Il a eu une faille dedans pendant des années. Une faille baptisée "Heartbleed."
Au coeur du problème
OpenSSL fonctionne très bien en théorie, mais à cause d'une erreur de codage mineure, et les
exploits résultent de là, des gens malveillants peuvent abuser de certaines (et populaires !)
versions d'OpenSSL. Ceux-ci peuvent alors intercepter des données privées qui devraient être
sécurisées par le code TLS / SSL.
C'est typiquement l'attaque de l'homme du milieu, pus couramment appelée HDM. Il s'agit ni plus
ni moins que d'écoute technologique où chaque communication entre votre navigateur et un site
est interceptée. Gmail. Facebook. Transactions financières. Tout peut être lu en temps réel, par
un parfait inconnu. Promptement résumé:

Cette situation est problématique pour deux raisons. Tout d'abord, si les attaquants se placent
de façon stratégique lorsque que vous vous connectez à votre compte de messagerie Yahoo.com,
ils peuvent voir vos informations. Votre nom d'utilisateur, votre mot de passe, peut-être même
votre numéro de carte de crédit en fonction de ce que vous faites. Il y a toutes sortes de choses
juteuses à l'intérieur.
Mais ce n'est pas grand chose par rapport au véritable danger... Les assaillants sauront également
comment le site récupère vos données... En somme une fois que la poignée de main "secrète" est
découverte, tous les paris sont ouverts. Ils peuvent ensuite vous faire croire ce que bon leur semble
et également et regarder l'historique de vos transactions. Prenons l'image d'un cambriolage, comme
ils utilisent une clef au lieu de casser la fenêtre, cela ne laisse aucune trace. C'est ballot.
Comment cela vous affecte ?
Heureusement toutes les versions d'OpenSSL ne sont pas vulnérables à ce genre d'exploit et il existe
une version désormais sécurisée... Mais compte tenu du temps où cette vulnérabilité était belle et bien
présente, ce n'est qu'une piètre consolation.
Il y a pléthore de sites qui utilisaient la version branlante, mais comme ces attaques ne laissent aucune
trace... il n'y a aucun moyen de savoir combien ont été réellement attaqués. Si vous êtes utilisateur de
l'un d'eux, vos informations d'identification sont maintenant dans la nature.


  • yahoo.com
  • imgur.com
  • flickr.com
  • redtube.com
  • kickass.to
  • okcupid.com
  • steamcommunity.com
  • hidemyass.com
  • wettransfer.com
  • usmagazine.com
  • 500px.com
Bien que ces sites aient rafistolé la faille OpenSSL et effectué l'équivalent Internet d'un changement de
serrures cryptographiques, le problème est loin d'être résolu. Toutes les données que les attaquants ont
peut-être réussi à obtenir sont perdues pour toujours.
Heureusement, il n'y a pas de véritables mastodontes du commerce virtuel qui aient été soumis au bug.
Comprenez, pas d'Amazon, de Google ou de Microsoft. Mais là encore, il s'agit d'une violation sans précédent,
et nous ne saurons jamais combien de sites ont été vraiment attaqués.
Hélas, il n'y a pas grand chose à faire pour éviter cet écueil. Certes vous pouvez changer vos mots de passe,
mais aussi porter un chapeau en aluminium... Parfois la meilleure solution reste de jeter un œil à son relevé de
carte de crédit.
__________________
Ce qu'il faut d'Urgence aux Humains, c'est une Nouvelle Pensée sur le Réel!!!!!!!
http://www.youtube.com/watch?v=hMkdhVQMBHY
http://www.youtube.com/watch?v=L4g6IKiiZM0
https://www.youtube.com/watch?v=U9AL0p8t-Ww
https://www.youtube.com/watch?v=pwKG_5hIqm8
Revenir en haut
Visiter le site web du posteur
Admin Bernie
Administrateur

Hors ligne

Inscrit le: 28 Sep 2009
Messages: 8 276

MessagePosté le: Dim 13 Avr - 14:31 (2014)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

Le petit cadenas web ne vous protègeait de rien du tout!!!!!!!!


jeudi 10 avril 2014 12:50 GMT


Alors qu'on nous vantait les mérites de "ce petit cadenas" présent sur les sites WEB utilisant le protocole
SSL/TLS qui était censé nous protéger contre toute tentative de piratage lors que votre ordinateur
communiquait avec ces sites (Banques, eCommerce, Facebook, sites gouvernementaux comme les impôts)
on apprend aujourd'hui que le logiciel le plus utilisé au monde qui assure cette fonctionnalité contient une
énorme faille de sécurité depuis plus de 2 ans!
Le module concerné, Open SSL est effet victime du Heartbleed Bug qui fait que des personnes malveillantes
peuvent arriver à récupérer certaines données sensibles au sein de la mémoire même des serveurs qui l'utilisent!
Découverte par une équipe de chez Google et de la société américaine Codenomicon, cette faille est présente
depuis plus de 2 ans et concerne plus de 50% des services en ligne utilisant ce protocole SSL/TLS.
Si la présence de bug est malheureusement incontournable, cette situation devrait rappeler à certains les limites
de l'Open Source qui est certes une bonne chose mais qui du fait de sa gratuité relative est installée par le plus
grand nombre pensant naïvement que OpenSource est un gage de sécurité. Que nenni ! Que des logiciels soient
OpenSource ou protégés ce qui assure leur sécurité c'est le sérieux des personnes qui en sont en charge, sur
ce coup on ne va pas leur dire bravo.
Même si la faille est importante en ce qui concerne les utilisateurs que nous sommes le risque de se faire pirater
ses comptes en ligne est très limité. La faille ne permettant que de lire le contenu mémoire d'un ordinateur ou de
"sniffer" le trafic normalement crypté il faudrait être vraiment malchanceux pour s'être fait pirater son mot de
passe par exemple. Ça peut arriver mais le risque reste tout de même assez faible. Dans le doute il est recommandé
de ne pas trop se connecter en ce moment sur certains sites en attendant qu'ils fassent les mises à jour nécessaires
(Les plus gros comme Google ou Facebook ont déjà pris toutes les mesures nécessaires) puis d'ici quelques jours de
changer ses mots de passe par sécurité.
__________________
Ce qu'il faut d'Urgence aux Humains, c'est une Nouvelle Pensée sur le Réel!!!!!!!
http://www.youtube.com/watch?v=hMkdhVQMBHY
http://www.youtube.com/watch?v=L4g6IKiiZM0
https://www.youtube.com/watch?v=U9AL0p8t-Ww
https://www.youtube.com/watch?v=pwKG_5hIqm8
Revenir en haut
Visiter le site web du posteur
Admin Bernie
Administrateur

Hors ligne

Inscrit le: 28 Sep 2009
Messages: 8 276

MessagePosté le: Dim 13 Avr - 21:05 (2014)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

Heartbleed : LA NSA était au courant depuis deux ans

Vendredi 11 avril 2014 20:21 GMT

Heartbleed la faille internet qui permet à des hackers d'avoir accès à des données sur des utilisateurs,
a été exploitée par la NSA.
Révélée en début de semaine et provoquant de nombreuses pagailles et l'obligation de changer ses mots
de passe notamment chez Yahoo, Heartbleed comprenez par-là, le cœur qui saigne, permet à des personnes
mal intentionnées de récupérer la clé de chiffrement et d'avoir accès à des données d'utilisateurs, sans pour
autant laisser de traces.
Récemment, le site github a compilé une liste des sites qui sont vulnérables ou non, ou il est possible de vérifier
manuellement un site à partir de ce lien. Heartbleed devait à la base mettre en garde contre les éventuels hackers,
mais c'est peut-être de la NSA qu'il aurait mieux fallu se méfier. Le système de surveillance américain a avoué
(plutôt rapidement) que les failles étaient connues depuis deux ans nous raconte le site Bloomberg.

Un bug gardé volontairement secret
Avant que cette faille ne soit découverte, la NSA avait réussi à obtenir des mots de passe et autres données sur
des utilisateurs du monde entier, mais aussi des entreprises. Des millions d'utilisateurs ordinaires ont ainsi été laissés
vulnérables aux attaques des bras de renseignement d'autres nations et les pirates informatiques.
La NSA avait été largement critiqué ces temps-ci pour des affaires d'espionnages sur des particuliers mais aussi des
dirigeants politiques dans le monde.

Heartbleed, la fameuse faille SSL/TLS qui provoque bien des maux de tête parmi les admins de sites web,
n'a pas été une découverte pour les oreilles indiscrètes de la NSA. L'agence de surveillance américaine
l'exploitait depuis au moins deux ans!


La NSA était, d'après Bloomberg, parfaitement au courant de cette faille importante, mais elle s'est bien gardée de
ne pas la révéler : la vulnérabilité s'est montrée bien pratique pour pénétrer en douce dans les serveurs du monde
entier et récupérer discrètement mots de passe et autres informations sensibles. En fait, depuis l'apparition de ce
bug en 2012, l'agence n'a pas cessé de l'exploiter à son profit.
Heartbleed a eu un impact sur des services aussi populaires que les Web Services d'Amazon, très utilisés pour le
stockage et l'hébergement de sites web, ainsi que Gmail, Yahoo, et bien d'autres encore. En ce qui concerne
Google et Amazon, les serveurs n'ont été patchés contre la faille que la semaine dernière – on peut donc gager,
sans trop se tromper étant donné les mauvaises manières avérées de la NSA, que celle-ci en a tiré profit jusqu'au
bout.
L'un dans l'autre, la NSA a donc pu, par le biais d'Heartbleed, avoir un accès libre aux deux tiers des serveurs chiffrés
sur internet. Et le pire est encore à venir : même si des précautions ont été (ou vont l'être) prises pour combler cette
vulnérabilité, l'agence a sous la main plusieurs milliers de failles similaires (!) qu'elle ne compte évidemment pas révéler!
__________________
Ce qu'il faut d'Urgence aux Humains, c'est une Nouvelle Pensée sur le Réel!!!!!!!
http://www.youtube.com/watch?v=hMkdhVQMBHY
http://www.youtube.com/watch?v=L4g6IKiiZM0
https://www.youtube.com/watch?v=U9AL0p8t-Ww
https://www.youtube.com/watch?v=pwKG_5hIqm8
Revenir en haut
Visiter le site web du posteur
Admin Bernie
Administrateur

Hors ligne

Inscrit le: 28 Sep 2009
Messages: 8 276

MessagePosté le: Dim 13 Avr - 22:38 (2014)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

Tout savoir sur l'énorme faille Heartbleed, en 7 questions


Dimanche 13 avril 2014 12:53 GMT


Révélée il y a quelques jours, la méga-faille Heartbleed a mis en ébullition toute la Toile, impactant plus
d'un demi-million de serveurs web dans le monde. Voici tout ce qu'il faut savoir sur ce bogue, pour le
comprendre et se protéger:

1) Heartbleed, qu'est-ce que c'est?
C'est un nom assez poétique pour l'une des failles de sécurité les plus importantes que le web ait jamais connu.
Elle a été découverte par un groupe de chercheurs en sécurité de la société Codenomicon. Elle affecte le protocole
de chiffrement OpenSSL dans sa version 1.0.1 à 1.0.1f. Plus précisément, le bug se trouve dans une extension
protocolaire baptisée «Heartbeat» qui permet de gérer une connexion permanente entre l'utilisateur et le serveur,
sur un mode question-réponse (serveur est-tu là? oui, je suis là!). En raison d'une erreur de programmation
(lire point n°7), le serveur renvoie à l'utilisateur, dans certains cas, une partie de sa mémoire vive. Une fuite de
données qu'une personne malintentionnée peut mettre à profit pour siphonner des données sensibles. D'où le nom
«Heartbleed». Dans une note de blog, le cabinet Lexsi décortique cette faille de manière technique, sur la base du
code. Le dessinateur Randall Munroe, de son côté, a réussi à expliquer cette faille de manière simple et illustrative,
en six vignettes.

2) Est-ce que c'est grave, docteur?
Oui, c'est très grave. Grâce à cette faille, un pirate peut, avec un peu de chance, récupérer les clés privées de
chiffrement de la connexion SSL attaquée. A partir de ce moment, la porte est grande ouverte: le pirate aura
accès à toutes les données qui circulent, y compris les identifiants et les mots de passe. Idéal pour une agence
de renseignements ou un groupe de cybercriminels. S'il a moins de chance, le pirate met simplement la main sur
du contenu plus ou moins sensible. En tous les cas, le risque est énorme. Pour le spécialiste de la sécurité Bruce
Schneier, cette faille est tout simplement catastrophique. «Sur une échelle de 1 à 10, c'est un 11», souligne-t-il
dans une note de blog. Pour voir l'étendue du désastre, il suffit de consulter le blog de Robert Graham, un autre
spécialiste en sécurité. Le 9 avril2014, il a réalisé un scan automatique sur le web. Il a détecté 28 millions de
serveurs utilisant OpenSSL. Parmi eux, environ 600.000 étaient vulnérables. Néanmoins, les serveurs les plus
sensibles ont rapidement été patchés.

3) Quels services ou équipements sont concernés?
Tous les services en ligne qui utilisent le protocole OpenSSL dans sa version 1.0.1 à 1.0.1f. Et ils sont très nombreux,
car OpenSSL est l'une des technologies cryptographiques les plus utilisées sur Internet. Elle est intégrée par défaut
dans les serveurs web Apache et nginx qui, à eux deux, représentent déjà deux tiers des serveurs web actifs
(source: Netcraft). En terme de typologie de services, cela peut concerner aussi bien des webmail et des messageries
instantanées, que des services SSL VPN ou des services bancaires. Même le service d'anonymisation Tor et le protocole
de la monnaie virtuelle Bitcoin ont été impactés. Mais ce n'est pas tout. Les équipements réseau que nous avons à la
maison peuvent également être vulnérables - disques durs réseau, box Internet, petits routeurs, etc. - car ils disposent
généralement d'une interface de paramétrage accessible... en SSL. Du côté des disques NSA, les appareils de marque
Synology, QNAP et Thecus, par exemple, étaient vulnérables (source : Cachem.fr).

4) Comment savoir s'ils sont toujours vulnérables ?
La première chose à faire est déjà de regarder si votre fournisseur a communiqué à ce sujet. Beaucoup de grandes
marques l'ont fait par écrit, sur leur blog ou par Twitter. Exemples: Microsoft, Google, Amazon Web Services, Twitter,
PayPal, Dropbox, Evernote, Wordpress, Mojang/Minecraft, Github,… Le site Mashable tient à jour une liste de services
web, en indiquant leur vulnérabilité. Certains constructeurs ont également publié des alertes comme Cisco et Juniper.
Beaucoup de leurs équipements réseau sont concernés par la faille Heartbleed: routeurs, commutateurs, équipements
vidéo, etc. Linksys a également communiqué, mais ses produits ne sont pas vulnérables. Il existe par ailleurs plusieurs
sites qui proposent des tests de vulnérabilité. Il suffit d'indiquer l'URL et on obtient la réponse. Le test le plus complet
est celui de Qualys. Le plus rapide est celui de Filippo Valsorda, qui permet également de tester de simples adresses IP
(et donc des équipements sur réseaux internes). Il y a également celui de la société lituanienne Possible. Les plus
professionnels d'entre vous s'orienteront vers des outils de scan automatique. Il en existe plusieurs sur GitHub comme
«Heartbleed Masstest» ou «Masscan». Pratique pour analyser un vaste réseau d'entreprise par exemple.

5) Que faut-il faire ?
Les internautes doivent vérifier si les services ou équipements qu'ils utilisent sont vulnérables (lire ci-dessus). Si tel est le
cas, ils doivent si possible cesser de les utiliser jusqu'à ce qu'ils soient sécurisés. S'ils ne sont pas vulnérables, il faut vérifier
s'ils n'ont pas été vulnérables par le passé (utilisaient-ils OpenSSL 1.0.1?). Les listes de Mashable ou de Cnet peuvent vous
guider dans cette tâche. On peut également consulter GitHub où un développeur a scanné 10.000 sites le 8 avril dernier,
dont 630 étaient vulnérables. Si vulnérabilité il y a eu, il faut impérativement changer ses mots de passe. C'est le cas
notamment pour les services suivants: •Google (tous les services) •Facebook •Yahoo (tous les services) •Instagram
•Pinterest •Tumblr •Twitter (peut-être, ce n'est pas clair) •Amazon Web Services (mais pas Amazon.com) •Dropbox
•Box De leur côté, les administrateurs systèmes sont extrêmement sollicités. Ils doivent se dépêcher de trouver les serveurs
vulnérables et les mettre à jour le plus rapidement possible. Bon courage.

6) Cette faille a-t-elle été exploitée avant d'être révélée?
Difficile à dire. Selon les chercheurs en sécurité qui ont révélé la faille, l'exploitation «ne laisse pas de traces anormales dans
les logs». Néanmoins, en faisant une analyse approfondie des logs, il semblerait que cela soit quand même possible. Ainsi,
l'association Electronic Frontier Foundation a peut-être mis la main sur un botnet qui utilisait cette faille pour capter des
discussions sur les forums de Freenode. A vérifier. Quoi qu'il en soit, cette faille n'étant pas très compliquée à exploiter, il est
tout à fait possible qu'un groupe de cybercriminels ou une agence de renseignements siphonnent les serveurs web depuis des
mois. Mais dans ce cas, le mal est fait. La seule chose à faire reste de changer ses mots de passe!!!!!!!!

7) Quelle est l'origine de cette faille?
L'homme par qui cette faille est arrivée s'appelle Robin Seggelmann, un informaticien allemand qui vit à Münster et qui contribue
de manière régulière au projet OpenSSL. Il y a deux ans, il a ajouté plusieurs fonctionnalités, mais aussi une malheureuse erreur
de programmation qui a généré la faille Heartbleed: «J'ai oublié de vérifier une variable qui contenait une longueur [d'un message
protocolaire, ndlr]», a-t-il expliqué auprès du Sydney Morning Herald. Toutefois, il précise que cette erreur était totalement
involontaire et qu'il ne fait pas partie d'une quelconque agence de renseignements, comme certains esprits paranoïaques veulent
le faire croire sur la Toile!!!!!!!!!!!!!!!
__________________
Ce qu'il faut d'Urgence aux Humains, c'est une Nouvelle Pensée sur le Réel!!!!!!!
http://www.youtube.com/watch?v=hMkdhVQMBHY
http://www.youtube.com/watch?v=L4g6IKiiZM0
https://www.youtube.com/watch?v=U9AL0p8t-Ww
https://www.youtube.com/watch?v=pwKG_5hIqm8
Revenir en haut
Visiter le site web du posteur
Admin Bernie
Administrateur

Hors ligne

Inscrit le: 28 Sep 2009
Messages: 8 276

MessagePosté le: Mer 16 Avr - 06:50 (2014)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

Protection pour vos mobiles par de nombreuses applications 'Hearthbleed Security' qui scannent vos mobiles
Existent pour Android sur le Play Store et certainement aussi pour les Iphones Okay

http://www.android-mt.com/news/heartbleed-android-4-1-1-23561

http://www.iphon.fr/post/comment-corriger-eviter-heartbleed-iphone-ipad

http://www.huffingtonpost.fr/2014/04/11/heartbleed-les-mots-de-pa_n_5133575.html

http://quebec.huffingtonpost.ca/2014/04/15/heartbleed-reparation-faille-perturbera-internet_n_5155837.html

http://fr.appszoom.com/android_developer/ks-mobile-inc_jdpbl.html


__________________
Ce qu'il faut d'Urgence aux Humains, c'est une Nouvelle Pensée sur le Réel!!!!!!!
http://www.youtube.com/watch?v=hMkdhVQMBHY
http://www.youtube.com/watch?v=L4g6IKiiZM0
https://www.youtube.com/watch?v=U9AL0p8t-Ww
https://www.youtube.com/watch?v=pwKG_5hIqm8
Revenir en haut
Visiter le site web du posteur
Admin Bernie
Administrateur

Hors ligne

Inscrit le: 28 Sep 2009
Messages: 8 276

MessagePosté le: Sam 19 Avr - 05:55 (2014)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

Faille Heartbleed: la check-list pour s'en sortir!!!!!!!!!!!


Vendredi 18 avril 2014 13:47 GMT


Depuis le 7 avril, un nom et un logo, jusqu'alors inconnus, ont fait le tour du Web: Heartbleed,
un cœur qui saigne. L'importance de cette faille de sécurité affectant la librairie de chiffrement
SSL/TLS OpenSSL explique cet embrasement sur le sujet. Si les acteurs du Web ont très rapidement
mis à jour leur librairie (vers la version 1.0.1g expurgée de Heartbleed), le problème est loin, très loin
même d'avoir été réglé. Et il ne se limite pas aux seuls acteurs du Web: toutes les DSI sont, de près
ou de loin, concernées par Heartbleed en raison de l'emploi très courant de la librairie OpenSSL dans
des logiciels et matériels du marché.

En 5 points, Silicon.fr vous livre une première check-list pour évaluer les risques et prendre les premières
contre-mesures:

1) Mesurer les risques:
http://www.silicon.fr/wp-content/uploads/2014/04/scan_qualys.jpgUn outil de test gratuit proposé par
Qualys disponible sur: https://www.ssllabs.com/ssltest/index.html
C'est évidemment la première question qui se pose aux DSI: quelles sont les informations que Heartbleed
a pu permettre de dérober? La réponse est simple: on n'en sait rien. Et c'est bien tout le problème.
«A ce jour, on n'a aucune idée des dommages réels que va causer Heartbleed. Il est impossible de savoir
quelles sont les données qui ont été exposées, surtout à posteriori, et qui les a récupérées. D'où les
questions qui se posent sur son éventuelle utilisation par la NSA», remarque Renaud Bidou, le directeur
technique de l'éditeur DenyAll. Concrètement, Heartbleed est un bogue (un classique problème d'allocation
de mémoire) dans l'implémentation d'un protocole appelé Heartbeat, ajouté à OpenSSL en février
2012 afin d'améliorer les performances. La faille permet de récupérer 64 000 octets de mémoire.
«Et cela concerne toutes les implémentations des versions infectées de OpenSSL: serveurs Web, VPN,
reverse proxy… Dans ces 64.000 octets peuvent figurer des login et mots de passe mais aussi la clef privée
du serveur, présente notamment lors d'un redémarrage de la machine», ajoute Renaud Bidou.
Bref, beaucoup d'informations extrêmement intéressantes pour des cybercriminels. Les couples login/mots
de passe leur permettent d'effectuer des opérations illégitimes. La récupération de la clef privée ouvre
encore davantage le champ des possibles. «C'est extrêmement sérieux: car, une fois en possession de ce
sésame, un assaillant peut se faire passer pour le serveur légitime, via une attaque de type Man-in-the-middle»,
note Arnaud Soullié, auditeur sénior chez Solucom. «Nous sommes dans une phase de gestion de crise, après
ce qu'il faut bien qualifier de dysfonctionnement majeur», résume Marc Cierpisz, manager du centre d'excellence
Team Risk & Security de Devoteam. Gourou de la cybersécurité, Bruce Schneier avait d'ailleurs réagi en assurant
que, sur une échelle de 1 à 10, Heartbleed valait un 11.

2) Comment réagir:
D'abord, il faut souligner que la réaction de la communauté du Web a été extrêmement rapide. Selon des chiffres
cités par DenyAll, le 8 avril 2014, plus de 80 % des 100 000 plus grands sites de la planète étaient concernés
par la faille. Le 9, ce taux était tombé sous les 5 %, après mise à disposition de la nouvelle version de OpenSSL.
«Si, pour une raison ou une autre, on ne peut pas passer à cette mouture 1.0.1g de la librairie, il suffit d'effectuer
une recompilation sans Heartbeat», ajoute Renaud Bidou. Une ligne de commandes suffit. Mais l'erreur serait de
croire que le problème s'arrête là. Notamment dans les DSI 'traditionnelles' ne gérant pas ou peu de sites Web
transactionnels avec communications chiffrées. «La difficulté ici est que la faille touche tant le monde du
développement et des applications Web, pour lequel des solutions existent – patches ou recompilation -, que des
éléments physiques», remarque Marc Cierpisz.
«La première priorité pour une DSI consiste à réaliser un inventaire de tous les systèmes pouvant embarquer OpenSSL,
ajoute Arnaud Soullié. Bien entendu, certains éléments, comme les serveurs Web Apache par exemple, s'imposent
d'emblée. Mais il faut aussi penser à tous les logiciels et matériels embarquant la librairie OpenSSL incriminée. Or, dans
les DSI, cette information n'est pas centralisée. A ce jour, il n'existe pas d'outils permettant de réaliser un inventaire
global sur un environnement informatique, même si des éditeurs d'outils de scan comme Qualys ou Nessus proposent
des plug-ins pour réaliser un audit spécifique pour Heartbleed. Il faut donc répertorier tous les équipements utilisant
des communications chiffrées, car dès que le protocole HTTPS est employé, il y a des probabilités importantes que la
vulnérabilité soit présente». Même si les OS Windows n'utilisent pas OpenSLL ou que d'autres librairies (comme
PolarSSL) ou versions de OpenSSL ne sont pas concernées par le bogue, «sur un parc de DSI classique, il y aura
forcément un équipement touché». Logique quand on sait que des acteurs majeurs comme VMware, Cisco, Juniper
ou encore Oracle ont publié des bulletins de sécurité confirmant que certains de leurs produits étaient affectés.
En la matière, une production informatique n'a d'autres solutions que de suivre les alertes de sécurité publiées
par ses fournisseurs et d'appliquer les patches qu'ils proposent. Sans oublier de contacter ceux qui ne proposent
rien!
«La problématique d'applications des patches est aujourd'hui bien gérée par les entreprises», assure Marc Cierpisz.
Mais, du fait du nombre d'éléments concernés, les entreprises piloteront probablement ce chantier par les risques,
en démarrant par les infrastructures les plus critiques (ce qu'elles ont commencé à faire avec les serveurs Web
HTTPS). «Car l'installation de toutes ces mises à jour va soulever des questions en matière de tests et de
validation», souligne le responsable de Devoteam.
Pour Arnaud Soullié, s'il faut patcher au plus vite les éléments les plus critiques, «la question des librairies
embarquées dans des équipements tiers reste devant nous. On risque de retrouver très longtemps des failles
de ce type lors de nos audits, d'autant que ces équipements ne sont pas intégrés dans les cycles classiques de
mises à jour de sécurité». Et de citer en exemples des modules permettant l'administration à distance de serveurs
(comme les interfaces iLO de HP sur lesquelles les tests de vulnérabilité Heartbleed entraînent une indisponibilité),
mais aussi des équipements spécialisés M2M ou des webcam sur IP (c'est par exemple le cas de certaines caméras
grand public D-Link touchées par Heartbleed).
«Pronostiquer le temps que prendra la remédiation totale est très difficile. La remise à niveau de OpenSSL est très
rapide.
Mais il faut compter avec les effets de bord, liés aux certificats qu'il faut potentiellement réémettre, aux autres
protocoles qui exploitent OpenSLL (comme POP, IMAP, SMTP ou VPN SSL). Le bogue impacte beaucoup d'éléments.
Tout dépendra de la réaction des acteurs du marché. Mais, au global, il faudra sûrement quelques mois»,
pronostique Marc Cierpisz.
Quelques mois et le respect d'un ordre très strict d'actions, faute de quoi les premiers efforts seront potentiellement
vains, rappelle Renaud Bidou. L'ordre de mises en place des contre-mesures est en effet très important. Il faut
commencer par patcher en urgence tous les éléments concernés. A commencer par les serveurs Web et les VPN.
Puis théoriquementrenouveler les clefs de chiffrement, en faisant réémettre les certificats par une autorité de
certification. Enfin, demander aux utilisateurs de changer leurs mots de passe sur les services touchés par
Heartbleed. Un processus qui donne la mesure des efforts qui restent à accomplir.

3) Changer les certificats… ou pas?
La question du renouvellement des certificats donne précisément lieu à des différences d'interprétation. Si, pour
certains, comme Renaud Bidou, cette réémission semble incontournable, d'autres pensent qu'il faut l'étudier au
cas par cas.
«Les découvreurs de Heartbleed ont dans un premier temps expliqué que les certificats n'étaient pas concernés
par la faille. Mais, sur un environnement de test, deux assaillants sont parvenus à reconstituer la clef privée du
serveur. Par mesure de précaution, il faut donc renouveler le certificat et régénérer une nouvelle clef privée. Ceci
peut s'avérer complexe et coûteux si l'entreprise fait appel à un prestataire externe, même si certains d'entre eux
ont déjà annoncé offrir de nouveaux certificats ou accorder des promotions à leurs clients», assure Arnaud Soullie,
de Solucom. Et l'auditeur de préciser: «Si cette étape est nécessaire, elle n'est pas suffisante. En effet, tous les
équipements ne vérifient pas si tel ou tel certificat a été révoqué ou pas. C'est par exemple le cas du navigateur
Chrome dans sa configuration par défaut. Le risque existe donc que des attaques perdurent même une fois les
certificats renouvelés»
«Il n'est pas encore sûr qu'il faille réémettre tous les certificats. La faille Heartbleed rend possible la lecture de la
clef privée d'un serveur, mais c'est loin d'être systématique. La décision devra être prise en fonction des infos qui
émergeront sur les attaques découlant de Heartbleed. Ce sont ces éléments qui permettront d'établir une politique
claire en la matière», tempère pour sa part Marc Cierpisz. Par ailleurs, signalons que certaines infrastructures de
sécurité permettent de protéger les clefs privées de chiffrement, même quand le serveur Web est affecté par
Heartbleed. C'est le cas d'entreprises utilisant des HSM (des matériels dédiés produits notamment par Thales
ou Bull) pour le chiffrement, signale Renaud Bidou. La plupart des banques ont recours à ces matériels dédiés.

4) Redoubler de vigilance:
Révélée le 7 avril, la faille est aujourd'hui comblée. Mais ce patch n'est pas forcément déployé partout et, surtout,
de nombreux autres logiciels et matériels embarquant OpenSSL n'ont pas encore été mis à jour. Parmi les plus réactifs,
VMware promet de livrer l'ensemble de ses patches avant la fin du week-end de Pâques. Des délais qui surprennent
un peu Renaud Bidou, de DenyAll: «réaliser un patch pour nos produits nous a demandé deux heures: on a simplement
changé de version de librairie. C'est donc très simple à condition que les éditeurs soient réactifs».
Il n'en reste pas moins pas moins qu'une fenêtre de vulnérabilité s'ouvre, une période particulièrement dangereuse
pour les entreprises. D'autant que les codes permettant d'exploiter la faille sont eux librement disponibles sur le
Web (par exemple sur Metasploit). Remarquons qu'au Canada, c'est un jeune homme de 19 ans qui est ainsi soupçonné
d'avoir piraté le fisc local. Il a été arrêté dans le courant de la semaine. «Une fenêtre s'est ouverte pour des personnes
malveillantes. Des pirates opportunistes vont aussi vouloir s'amuser et tester leurs capacités, assure Marc Cierpisz.
D'où la décision de certains de ne pas communiquer sur leur exposition à Heartbleed. Mais cette politique peut être à
double tranchant» Et de remarquer le grand silence des organisations françaises sur le sujet: «on est dans le déni
complet», raille-t-il.
«Aujourd'hui que la faille est connue, on peut toutefois détecter une attaque l'exploitant, rassure Renaud Bidou.
Tous les accès aux données sensibles sur des serveurs encore vulnérables doivent être surveillés». L'auditeur Arnaud
Soullié précise les stratégies à privilégier: «Comme l'ont montré des tests sur un serveur vulnérable, une exploitation
de Heartbleed afin de récupérer la clef privée d'un serveur se traduit par des centaines de milliers ou des millions de
requêtes émanant de quelques adresses IP. Mais la récupération de couples login / mots de passe peut, elle, se faire
via quelques requêtes seulement. La détection doit donc plutôt se focaliser sur le volume de données échangées que
sur le nombre de requêtes, car les requêtes pour exploiter la faille n'apparaissent pas dans les logs. Signalons aussi
que certains fournisseurs de sondes de détection d'intrusion (IPS ou IDS) fournissent désormais des signatures
permettant d'identifier les attaques s'appuyant sur la vulnérabilité»

5) Tirer les leçons de Heartbleed:
Si la saga Heartbleed est loin de se refermer, ses premiers développements sont déjà riches d'enseignements.
Sur certaines faiblesses du développement open source d'abord. «On prend ainsi conscience qu'une large part
du chiffrement dans le monde dépend de quelques développeurs à temps partiel, remarque Arnaud Bidou. Le code
incriminé a été validé et enregistré le 31 décembre 2011… à 23 heures! Et les équipes de OpenSSL se sont affranchies
des vérifications de conditions d'allocation mémoire (la source du bogue, NDLR). La fondation OpenSSL a expliqué avoir
besoin de 6 personnes à plein temps pour travailler plus sereinement. Aujourd'hui, leur équipe est bien plus restreinte.
Il serait peut-être temps de se pencher sur le financement d'une des principales infrastructures de sécurité du Web».
Le dévoilement de la faille est lui aussi riche d'enseignement. Alors que Google – premier à avoir isolé la faille (à moins
que des services secrets comme la NSA ne l'ait devancé…) - travaillait dans l'ombre et attendait que le patch soit
largement déployé avant de rendre publique la vulnérabilité, Codenomicon, société spécialisée dans l'analyse de code,
a redécouvert cette faiblesse et n'a pas hésité à s'en servir pour se faire de la pub. « Codenomicon a littéralement
marketé cette faille, avec un nom de domaine et un logo dédiés», s'énerve Renaud Bidou.
Le directeur technique de DenyAll remarque enfin le rôle que joue la multiplication des sécurités en cas de faille
majeure, comme dans le cas présent. «Heartbleed montre la valeur de la sécurité en profondeur. Prenons l'exemple
des banques, qui, pour la plupart, ont mis en place des mesures comme des mots de passe ou codes éphémères
envoyés par SMS pour accéder aux opérations les plus sensibles comme les virements vers des comptes externes»
Des mesures qui permettent de limiter l'impact d'une vulnérabilité centrale dans les infrastructures Web. Mais qui ne
suffisent pas à ignorer le problème.
__________________
Ce qu'il faut d'Urgence aux Humains, c'est une Nouvelle Pensée sur le Réel!!!!!!!
http://www.youtube.com/watch?v=hMkdhVQMBHY
http://www.youtube.com/watch?v=L4g6IKiiZM0
https://www.youtube.com/watch?v=U9AL0p8t-Ww
https://www.youtube.com/watch?v=pwKG_5hIqm8
Revenir en haut
Visiter le site web du posteur
Admin Bernie
Administrateur

Hors ligne

Inscrit le: 28 Sep 2009
Messages: 8 276

MessagePosté le: Dim 20 Avr - 20:46 (2014)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

Sondage sur Heartbleed!!!!!!!!!!!!!!


Samedi 19 avril 2014

Cette semaine, notre sondage porte sur la faille de sécurité Heartbleed

Avez-vous changé vos mots de passe, avez-vous saisi les tenants et aboutissants de cette faille,
les médias ont-ils assez communiqué sur le sujet?
Heartbleed a remué l'Internet mondial, et de nombreux acteurs ont communiqué sur ce sujet:
les mesures qu'ils ont prises vous paraissent suffisantes, et comment craignez-vous que les données
récupérées soient utilisées?
Nous vous laissons répondre à ce questionnaire afin de vous exprimer sur ce sujet qui risque de rester
d'actualité pour longtemps hélas!!!!!!!!

Quelques contenus qui pourraient vous intéresser:

__________________
Ce qu'il faut d'Urgence aux Humains, c'est une Nouvelle Pensée sur le Réel!!!!!!!
http://www.youtube.com/watch?v=hMkdhVQMBHY
http://www.youtube.com/watch?v=L4g6IKiiZM0
https://www.youtube.com/watch?v=U9AL0p8t-Ww
https://www.youtube.com/watch?v=pwKG_5hIqm8
Revenir en haut
Visiter le site web du posteur
Admin Bernie
Administrateur

Hors ligne

Inscrit le: 28 Sep 2009
Messages: 8 276

MessagePosté le: Sam 26 Avr - 13:41 (2014)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

Heartbleed vient titiller les VPN en entreprise!!!!!!!!!!!

Mercredi 23 avril 2014 15:02 GMT

La menace Heartbleed, du nom de cette faille dans la librairie de chiffrement SSL/TLS OpenSSL
 qui inquiète le Web, pourrait viser les réseaux privés d'entreprise (VPN ou Virtual Private Network)
selon les chercheurs de l'éditeur de solutions de sécurité IT Mandiant (filiale de FireEye). Le 8 avril,
ces derniers ont découvert une attaque de ce type avec en finalité un vol de données au sein d'une
entreprise (dont le nom n'a pas été dévoilé).
Dans une contribution blog, Christopher Glyer, Directeur technique de Mandiant, et Chris DiGiamo,
consultant senior, ont précisé les modalités : "L'assaillant a envoyé à plusieurs reprises des requêtes
Heartbeat [le protocole à l'origine de la faille Heartbeet, NDLR] corrompues au serveur web HTTPS
depuis un terminal avec VPN actif. Cette attaque a été compilée avec une version vulnérable
d'OpenSSL pour obtenir les identifiants (token) de sessions actives des utilisateurs."
Les deux experts poursuivent : "Avec ces tokens, l'attaquant a réussi à détourner plusieurs sessions
actives et a forcé le concentrateur VPN à valider son authentification." Tout en continuant de
décortiquer le scénario, les chercheurs précisent "qu'une fois connecté au VPN, le cyber-criminel a
tenté de pirater des comptes d'autres personnes et d'élever ses privilèges au sein du réseau de
l'entreprise"
Autre particularité de cette manipulation, le système de double authentification intégré au logiciel
de VPN a été contourné, précise Silicon.fr.
Une manière également pour l'éditeur de mettre en avant les solutions Mandiant d'analyses de logs
et de détection d'intrusions.
__________________
Ce qu'il faut d'Urgence aux Humains, c'est une Nouvelle Pensée sur le Réel!!!!!!!
http://www.youtube.com/watch?v=hMkdhVQMBHY
http://www.youtube.com/watch?v=L4g6IKiiZM0
https://www.youtube.com/watch?v=U9AL0p8t-Ww
https://www.youtube.com/watch?v=pwKG_5hIqm8
Revenir en haut
Visiter le site web du posteur
Admin Bernie
Administrateur

Hors ligne

Inscrit le: 28 Sep 2009
Messages: 8 276

MessagePosté le: Mar 29 Avr - 06:17 (2014)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

Des pirates vendent une nouvelle faille Heartbleed

Lundi 28 avril 2014

A l'heure où entreprises et fournisseurs de services travaillent à combler la faille OpenSSL Heartbleed,
certains tentent d'en tirer parti. Un groupe de pirates a posté un message sur la plateforme Pastebin
dans lequel ils déclarent avoir découvert une nouvelle faille au récent correctif, la version 1.0.1g du
protocole de chiffrement.

Rappelons que, rendue publique le 7 avril 2014, la faille Heartbleed permet à des attaquants de récupérer
en clair des données chiffrées par OpenSSL comme les identifiants et mots de passe ou numéro de carte
bancaire, depuis les serveurs hébergeant la transaction mais aussi de falsifier les certificats numériques
pour détourner les utilisateurs vers des sites malveillants ou encore corrompre les réseaux VPN des
entreprises.

800 euros l'exploit
«Nous sommes un groupe de 5 personnes et nous avons codé jour et nuit pendant 14 jours pour voir si
nous pouvions trouver une solution, et nous l'avons trouvée!», écrivent les hackers dans leur message.
La solution en question n'est pas un autre correctif mais un code permettant d'exploiter cette potentielle
nouvelle faille… que le groupe de pirates n'hésite pas à commercialiser. «Cet exploit ne sera pas rendu
public et restera privé, nous avons codé le script en python, et nous utiliserons notre propre code pour
un long moment avant que cela soit corrigé» Le code est vendu 2,5 Bitcoin (786 euros environ à ce jour)
ou encore 100 Litecoin.
Selon eux, la faille trouvée résulterait d'une mauvaise gestion dans la vérification de la variable
"DOPENSSL_NO_HEARTBEATS". «Nous avons pu contourner avec succès [la variable] et récupérer de
nouveau des blocs de 64 kb de données à partir de la mise à jour»
Doutes sur la vulnérabilité
Une tentative de tirer profit de la faille qui, si elle n'est pas inhabituelle dans le milieu des pirates ou
des éditeurs spécialisés qui commercialisent leurs expertises auprès des entreprises ou agences
gouvernementales, n'en laisse pas moins dubitatif les chercheurs en sécurité. Dans la discussion lancée
par Dillon Korman sur Seclist.org, plusieurs commentateurs mettent en cause la réalité de l'exploit.
Pour Jann Horn, «c'est de la connerie [DOPENSSL_NO_HEARTBEATS] n'est pas une variable [mais] une
macro de compilation qui configure si Heartbeats (le protocole de chiffrement, NDLR) sera compilé ou
non. Et parce que c'est un compilateur, un attaquant ne peut pas s'en servir» Pour sa part, Todd
Bennett trouve que le contournement de la variable par débordement de mémoire tampon «est une
revendication assez surprenante [puisque] elle est dans le préprocesseur C».
Sans entrer dans les détails techniques difficiles à mesurer en l'absence du code d'exploitation ou de
démonstration de faisabilité de l'attaque, l'un des participants fait remarquer que l'adresse e-mail à
laquelle renvoie les pirates a été utilisée en mars dernier pour vendre des bases de données des plate-
formes transactionnelle de Bitcoins MtGox, en cours de fermeture par les autorités japonaises, et
CryptoAve. Une publicité qui laisse peu de doute à la démarche illégale du groupe de pirates
revendiquant une nouvelle faille OpenSSL.

OpenSSL mieux sécurisé
Si celle-ci se révèle vraie, les conséquences de son exploitation pourraient se révéler désastreuses en
regard de l'usage massif de la librairie open source OpenSSL au sein des serveurs web et
produits réseaux chez Cisco et Juniper, notamment. Pour y faire face,
la Fondation linux a lancé le projet Core Infrastructure Initiative (CCI) qui vise à organiser le financement
des développements des logiciels open source critiques pour en améliorer leur qualité en matière de sécurité.
Un projet auquel se sont associés les grands noms de l'industrie : Facebook, Google, Microsoft, Cisco, IBM,
VMware, Dell, Fujitsu, Intel, NetApp, Amazon et Rackpsace. OpenSSL est le premier bénéficiaire de cette
initiative salutaire.

Lire également
Faille Heartbleed : la check-list pour s'en sortir

La faille Heartbleed fait ses premières victimes, dont le fisc canadien

Faille Heartbleed : le patch d'Akamai était vérolé

Heartbleed : la faille qui met OpenSSL, et la NSA, sur la sellette
__________________
Ce qu'il faut d'Urgence aux Humains, c'est une Nouvelle Pensée sur le Réel!!!!!!!
http://www.youtube.com/watch?v=hMkdhVQMBHY
http://www.youtube.com/watch?v=L4g6IKiiZM0
https://www.youtube.com/watch?v=U9AL0p8t-Ww
https://www.youtube.com/watch?v=pwKG_5hIqm8
Revenir en haut
Visiter le site web du posteur
Admin Bernie
Administrateur

Hors ligne

Inscrit le: 28 Sep 2009
Messages: 8 276

MessagePosté le: Jeu 1 Mai - 12:57 (2014)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

Heartbleed utilisée contre des hackers qui font commerce

de données volées!!!!!!!!!!!!!!!!!!

Mercredi 30 avril 2014

Un chercheur en sécurité a découvert que certains forums cybercriminels sont concernés
par la faille OpenSSL, laissant la porte ouverte pour espionner les activités illégales qu'ils
croient protégées du monde extérieur.

De même qu'il y a l'arroseur arrosé, il y aura désormais le hacker hacké. Heartbleed, la faille de sécurité
découverte au début de ce mois d'avril, vient de faire de nouvelles victimes. Il avait fallu attendre moins
d'une semaine pour voir les premières exploitations de cette faille mais cette fois les choses sont un peu
différentes.
En effet, à en croire le site de la BBC, des experts en sécurité ont utilisé cette faille pour récupérer des
informations échangées dans des chatrooms et sur des forums où certains cybercriminels commercialisent
ou échangent les données qu'ils ont dérobées. Ainsi, un des chercheurs en sécurité interviewé par la BBC
indique que «le potentiel de cette vulnérabilité touchant les services des black hats (les hackers qui se
livrent à des activités illégales, NDLR) est tout simplement colossale». Grâce à des logiciels qu'il a
spécialement conçus, cet expert a ainsi pu pénétrer des forums comme Darkode et Damagelab.
«Darkode est vulnérable, et ce forum est vraiment un cible difficile à atteindre», déclarait-il à la BBC.
«Assez peu de personnes peuvent surveiller ce forum, mais Heartbleed révèle tout en plein jour»,
concluait-il.Si cette découverte a le mérite d'exposer les activités de cybercriminels – une sorte de
juste retour des choses – elle prouve également à quel point Heartbleed est dangereux.
Ses conséquences et son utilisation ne sont pas prêtes de disparaître...

__________________
Ce qu'il faut d'Urgence aux Humains, c'est une Nouvelle Pensée sur le Réel!!!!!!!
http://www.youtube.com/watch?v=hMkdhVQMBHY
http://www.youtube.com/watch?v=L4g6IKiiZM0
https://www.youtube.com/watch?v=U9AL0p8t-Ww
https://www.youtube.com/watch?v=pwKG_5hIqm8
Revenir en haut
Visiter le site web du posteur
Contenu Sponsorisé






MessagePosté le: Aujourd’hui à 03:59 (2016)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

Revenir en haut
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    Couteaux des Gaules et d'Ailleurs Index du Forum -> Autres que les couteaux Toutes les heures sont au format GMT + 1 Heure
Aller à la page: 1, 2  >
Page 1 sur 2

 
Sauter vers:  

Index | forum gratuit | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation
Powered by phpBB © 2001, 2016 phpBB Group
Traduction par : phpBB-fr.com