Couteaux des Gaules et d'Ailleurs Index du Forum Couteaux des Gaules et d'Ailleurs
les couteaux Régionaux des Gaules et d'Ailleurs
 
 FAQFAQ   RechercherRechercher   MembresMembres   GroupesGroupes   S’enregistrerS’enregistrer 
 ProfilProfil   Se connecter pour vérifier ses messages privésSe connecter pour vérifier ses messages privés   ConnexionConnexion 

L'Enorme Faille de Sécurité Internet: Heartbleed
Aller à la page: <  1, 2
 
Poster un nouveau sujet   Répondre au sujet    Couteaux des Gaules et d'Ailleurs Index du Forum -> Autres que les couteaux
Sujet précédent :: Sujet suivant  
Auteur Message
Admin Bernie
Administrateur

Hors ligne

Inscrit le: 28 Sep 2009
Messages: 8 274

MessagePosté le: Jeu 1 Mai - 13:38 (2014)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

Sécurité IT: escroquerie à la faille Heartbleed!!!!!!!!!!!

Le doute n'est pas permis pour les experts en sécurité: "l'autre faille Heartbleed" - en l'occurrence,
celle qu'un collectif de pirates dit avoir découverte la semaine passée - est une arnaque pure et
simple!!!!!!!!!!!!!!!!!!!

Les cinq membres de ce groupe baptisé BitWasp expliquent avoir codé "jour et nuit pendant deux
semaines" jusqu'à découvrir ce soi-disant exploit... aujourd'hui monnayé pour 2,5 Bitcoins (soit environ
798 euros au 30 avril 2014).
Pour mieux saisir le voile d'incertitude qui règne autour de cette probable escroquerie, il faut remonter
au 7 avril dernier. A cette date, une mise à jour de la bibliothèque OpenSSL (version 1.0.1g) était
déployée en urgence après la découverte de la vulnérabilité critique Heartbleed, permettant l'interception
de données confidentielles communiquées à des sites Web.
Le problème était lié à l'une des extensions du protocole de chiffrement. En l'occurrence, celle qui lance
régulièrement, côté client, des requêtes pour vérifier si la connexion avec un serveur est encore active.
Alors qu'un simple indicateur de présence était attendu en réponse, des blocs de 64 ko de données
pouvaient être transmis en clair : identifiants et mots de passe, numéros de cartes bancaires, clés de
cryptage, etc. Il était également possible de falsifier les certificats numériques pour détourner les
utilisateurs vers des sites malveillants ou encore corrompre les réseaux VPN des entreprises.
Cette brèche a été corrigée le jour de son annonce publique. Depuis, entreprises et acteurs concernés
s'attachent à combler les trous et à renforcer la sécurité des futures versions. D'autant que la NSA, qui
connaissait l'existence de Heartbleed depuis au moins deux ans, a certainement exploité la vulnérabilité.
Le collectif BitWasp a remis en doute l'efficacité du correctif, sans toutefois publier ni code d'exploitation,
ni démonstration de faisabilité d'une attaque. Le dénommé Ivan Kwiatowski, qui se présente comme un
expert en sécurité, est entré en contact avec eux pour leur demander davantage de précisions.
Le résultat ne s'est pas fait attendre : selon lui, les données chiffrées susceptibles d'avoir été recupérées
et qui lui ont été renvoyées ont "de toute évidence [...] été fabriquées de toutes pièces".
Au-delà de cette démonstration, l'attitude du groupe de pirates est, dans tous les cas, des plus suspectes
aux yeux de Laurent Heslault.
Le directeur technique de Symantec s'explique : "On ne poste pas [l'offre de vente d'un exploit] sur une
plate-forme ouverte comme Pastebin, mais sur le darkweb, avec une mise en contact en IRC et non par
une adresse e-mail". Il fait par ailleurs remarquer que les 2,5 Bitcoins réclamés en compsensation
représentent un montant "ridiculement bas" : une telle faille se négocie généralement à plusieurs centanes
de milliers d'euros.
Pour lui, et à titre personnel (et non pas celui de Symantec), c'est une arnaque. "On s'y attend depuis le
début. Il y a toujours des petits malins qui tentent de profiter d'un phénomène médiatique et sautent sur
l'occasion pour infecter des machines avec des attaques plus traditionnelles." A commencer par la récente
vulnérabilité Internet Explorer, "plus facile à exploiter [que Heartbleed], plus payante et pas corrigée".
Sans oublier, comme le note Silicon.fr, les 23 failles zero-day de 2013, dont 97% de celles qui ont été
exploitées concernaient la plate-forme Java, selon l'Internet Security Threat Report 2014
__________________
Ce qu'il faut d'Urgence aux Humains, c'est une Nouvelle Pensée sur le Réel!!!!!!!
http://www.youtube.com/watch?v=hMkdhVQMBHY
http://www.youtube.com/watch?v=L4g6IKiiZM0
https://www.youtube.com/watch?v=U9AL0p8t-Ww
https://www.youtube.com/watch?v=pwKG_5hIqm8
Revenir en haut
Visiter le site web du posteur
Publicité






MessagePosté le: Jeu 1 Mai - 13:38 (2014)    Sujet du message: Publicité

PublicitéSupprimer les publicités ?
Revenir en haut
Admin Bernie
Administrateur

Hors ligne

Inscrit le: 28 Sep 2009
Messages: 8 274

MessagePosté le: Mer 7 Mai - 22:04 (2014)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

Le Geforce Experience touché par une faille Heartbleed,
Nvidia lance la 2.0.1.0 en douce!!!!!!!!!!!!!!!

Mardi 6 mai 2014

Nvidia avait lancé son Geforce Experience 2.0 en grandes pompes avec les pilotes Geforce 337.50.
Mais voilà, le caméléon a avoué que le GFE 2.0 (les versions 1.x ne sont pas concernées) était
touché par la faille Heartbleed qui est une faille de sécurité OpenSSL. Du coup le caméléon a lancé
le Geforce Experience 2.0.1.0 qui colmate le brèche. Jusque-là on ne peut pas reprocher au
caméléon de s'occuper de son logiciel, hormis peut-être d'avoir passé sous silence pendant
un mois l'existence de ce problème alors que le correctif était prêt quelques heures plus tard.
Autre point sur lequel on peut tirer les oreilles du caméléon, pas facile à faire car il faut d'une part
un caméléon, et d'autre part qu'il ait des oreilles assez longues, c'est que les pilotes proposés au
téléchargement conservent cette mouture 2.0 trouée, pourquoi est-ce que Nvidia n'a pas associé
un nouveau fichier au DL et remplaçant GFE par la 2.0.1.0 ? Du coup pour être propre sur soi, il va
falloir choper ce soft à part des pilotes, ce qui est dommage puisqu'il y a quand même plus de
gens qui téléchargent des pilotes que ceux qui installent GFE. Pour ceux qui moulinent avec GFE,
faites donc la mise à jour rapidement
__________________
Ce qu'il faut d'Urgence aux Humains, c'est une Nouvelle Pensée sur le Réel!!!!!!!
http://www.youtube.com/watch?v=hMkdhVQMBHY
http://www.youtube.com/watch?v=L4g6IKiiZM0
https://www.youtube.com/watch?v=U9AL0p8t-Ww
https://www.youtube.com/watch?v=pwKG_5hIqm8
Revenir en haut
Visiter le site web du posteur
Admin Bernie
Administrateur

Hors ligne

Inscrit le: 28 Sep 2009
Messages: 8 274

MessagePosté le: Sam 10 Mai - 20:32 (2014)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

Heartbleed, restez vigilants!!!!!!!!!!!!!

Vendredi 9 mai 2014

Cela fait environ un mois que la faille Heartbleed a été dévoilée aux yeux du monde
(pour tout savoir sur Heartbleed, c'est ici). Si l'on en croit les derniers chiffres, il y a encore pas moins
de 300 000 serveurs qui sont vulnérables... Que de mauvais élèves !
Le chercheur en sécurité Robert David Graham s'est amusé à faire un balayage du web pour constater
que parmi les 1,5 million de serveurs utilisant la caractéristique OpenSSL permettant l'exploit, 318 239
y sont encore vulnérables!
On peut largement supposer que ce nombre est plus grand pour des raisons toutes simples, certains
systèmes ont pu échapper à Graham, et d'autres ont sans doute des configurations OpenSSL peu
orthodoxes.

Au regard des correctifs déployés et depuis que le moindre petit hacker est au courant de cette faille,
ce nombre reste troublant. La majorité des gros acteurs ont évidemment patché la faille, mais il convient
maintenant de rester encore très vigilants si vous êtes face à des sites en https.

Internet, c'est comme le Mordor: mieux vaut faire attention où on met les pieds!!!!!!!!!!
__________________
Ce qu'il faut d'Urgence aux Humains, c'est une Nouvelle Pensée sur le Réel!!!!!!!
http://www.youtube.com/watch?v=hMkdhVQMBHY
http://www.youtube.com/watch?v=L4g6IKiiZM0
https://www.youtube.com/watch?v=U9AL0p8t-Ww
https://www.youtube.com/watch?v=pwKG_5hIqm8
Revenir en haut
Visiter le site web du posteur
Admin Bernie
Administrateur

Hors ligne

Inscrit le: 28 Sep 2009
Messages: 8 274

MessagePosté le: Sam 10 Mai - 20:38 (2014)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

Près de 320.000 serveurs encore vulnérables à la faille Heartbleed!!!!!!!!!

Vendredi 9 mai 2014

La faille Heartbleed a été extrêmement médiatisée. La vulnérabilité référencée CVE-2014-0160 s'attaque
à la libraire de chiffrement OpenSSL. Elle permet à des pirates d'accéder aux informations personnelles
(jusqu'à 64 Ko de données) et chiffrées des utilisateurs lors de transactions en ligne. Le trou de sécurité
touche le logiciel OpenSSL chargé de protéger login de connexion, mot de passe, numéro de carte
bancaire et autres données depuis le serveur qui héberge la transaction en cryptant la communication
réalisée depuis le terminal (PC, tablette, smartphone…) sous protocole SSL/TLS.
Or après la découverte de ce bug, on a recensé plusieurs attaques (le fisc canadien par exemple), mais
également l'exposition de différentes solutions (VMware, les VPN d'entreprises, les matériels de Cisco et de Juniper)
Plusieurs éditeurs ont lancé des solutions pour vérifier si les sites étaient touchés par la vulnérabilité comme McAfee

320 000 serveurs encore vulnérables:
Malgré cet arsenal et cette médiatisation, le bug Heartbleed continue à faire parler de lui.
Selon Robert Graham, chercheur en sécurité pour Errata Security a évalué à plus de 320 000 (318.239
pour
 être exact) le nombre de serveurs encore vulnérables à la faille Heartbleed. Pour trouver ce chiffre,
il a scanné des millions de serveurs sur le port 443 qui est utilisé pour les communications TLS/SSL. A la
découverte de la faille, plus de 600.000 serveurs étaient exposés. Robert Graham reste prudent sur ce
chiffre de 320.000 en indiquant qu'il existe d'autres tests que le port 443 et qu'il peut donc y avoir plus de
serveurs vulnérables.
Une autre étude réalisée par le développeur chez Opera Software Yngve Pettersen et relayée par Ars Technica
montre que la mise à jour des serveurs sur Heartbleed patine sur les deux dernières semaines (-0,4%
de serveurs non patchés en moins). Pour le spécialiste, «cela indique que le patch des serveurs a été
complètement arrêté». Il met en avant la fin de la médiatisation de la faille, mais également la mise en place
de correctifs par les fournisseurs de services de leurs serveurs. Par ailleurs, les grands acteurs du web se sont mobilisés
techniquement et financièrement pour sécuriser et fiabiliser les projets Open Source dont en premier lieu
OpenSSL. Nonobstant, cela n'empêchent pas des petits malins de se faire remarquer en inventant une autre faille Heartbleed

A lire aussi:
Faille Heartbleed : la check-list pour s'en sortir
__________________
Ce qu'il faut d'Urgence aux Humains, c'est une Nouvelle Pensée sur le Réel!!!!!!!
http://www.youtube.com/watch?v=hMkdhVQMBHY
http://www.youtube.com/watch?v=L4g6IKiiZM0
https://www.youtube.com/watch?v=U9AL0p8t-Ww
https://www.youtube.com/watch?v=pwKG_5hIqm8
Revenir en haut
Visiter le site web du posteur
Admin Bernie
Administrateur

Hors ligne

Inscrit le: 28 Sep 2009
Messages: 8 274

MessagePosté le: Jeu 29 Mai - 09:55 (2014)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

Nokia: une nouvelle approche pour la sécurité!!!!!!!!!!!!
 
Mercredi 28 mai 2014

La sécurité a une Unité chez Nokia. Cette nouvelle branche est intégrée à la division Mobile Broadband
(réseau mobile), devenue la locomotive du groupe depuis sa vente à Microsoft.
A travers cette Unité, Nokia cherche à enrichir ses solutions de Sécurité et à développer sans cesse
d'autres modèles pour le secteur des télécoms. L'entreprise finlandaise s'est surtout donné le rôle
central de la sécurité à l'heure où le réseau s'inscrit comme l'épine dorsale du développement des
services clouds. Elle s'appuie sur les conclusions d'une récente étude menée par ses soins,  et qui
montre que 75% des clients considèrent leur Opérateur comme responsable de leur sécurité. Et 40%
déclarent qu'en cas de problèmes, ils n'hésiteront pas à changer de Fournisseur. La même proportion
affirme être prête à payer plus pour bénéficier d'une protection supplémentaire!!!!!!!!!!!!!!!!!
Marc Rouanne est formel: "Nous allons continuer à encourager le dialogue avec l'industrie et partager
nos connaissances en matière de sécurités pour améliorer la sensibilisation de ce domaine crucial des
télécommunications". Le vice Président Mobile Broadband de Nokia conclut: "Cela devient primordial
alors que les réseaux mobiles évoluent dans des clouds"
Nokia a aussi récemment décidé de contribuer au développement d'OpenSSL, cette Application Open
Source victime de la faille critique Heartbleed...
__________________
Ce qu'il faut d'Urgence aux Humains, c'est une Nouvelle Pensée sur le Réel!!!!!!!
http://www.youtube.com/watch?v=hMkdhVQMBHY
http://www.youtube.com/watch?v=L4g6IKiiZM0
https://www.youtube.com/watch?v=U9AL0p8t-Ww
https://www.youtube.com/watch?v=pwKG_5hIqm8
Revenir en haut
Visiter le site web du posteur
Admin Bernie
Administrateur

Hors ligne

Inscrit le: 28 Sep 2009
Messages: 8 274

MessagePosté le: Jeu 5 Juin - 06:29 (2014)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

Une campagne de phishing évoque la faille Heartbleed pour
installer un malware!!!!!!!!!!!!!!!!!!!!!!!


Mardi 3 juin 2014

L'éditeur en sécurité McAfee pointe du doigt une nouvelle campagne de phishing qui exploite les inquiétudes
autour de la faille Heartbleed pour pousser les internautes à installer un malware.
La faille Heartbleed a suscité il y a peu des inquiétudes concernant la sécurité de navigation sur Internet.
Mais il faut mettre les choses au clair: de nombreux correctifs visant à régler ce problème, qui touche, pour
rappel, la boîte à outils de chiffrement OpenSSL, ont déjà été déployés. De plus, Heartbleed concerne les
services et entreprises et touche les serveurs: il ne s'agit pas d'un problème qui peut directement infecter
l'ordinateur d'un particulier.
Lorsqu'on a connaissance de la situation, la campagne de phishing mise en lumière par McAfee sonne de façon
absurde. En effet, cette dernière cherche à convaincre les internautes qu'Heartbleed peut être désinstallé de
leur ordinateur, par le biais d'un logiciel à installer. Comme toujours dans ce genre de situation, le remède est
pire que le mal, et la solution miracle se révèle être un malware, plus précisément un enregistreur de frappes.
Avec un tel logiciel, les pirates peuvent récupérer des informations sensibles, comme des identifiants et des
mots de passe.
L'éditeur en sécurité explique que la campagne évoque «une menace crédible pour ceux qui ne sont pas informés
au sujet d'Heartbleed» et se base sur la crise syrienne pour expliquer l'attaque. Comme nous l'expliquons dans
notre dossier sur les arnaques en ligne, l'utilisation de sujets d'actualité peut mettre l'internaute en confiance et
crédibiliser une information. Mais méfiance: «une règle de base pour évoluer sur Internet est ne jamais ouvrir une
pièce jointe, ou cliquer sur un lien que vous n'attendiez pas et provenant d'une source inconnue»
Rappelons enfin que la seule méthode pour savoir si un internaute est concerné par Heartbleed est de consulter
la liste des services qui sont touchés par la faille, disponible ici:
http://pro.clubic.com/it-business/securite-et-donnees/actualite-695520-heartbleed-changer-mots.html
et de changer le mot de passe des comptes concernés. Des outils en ligne permettent de vérifier les sites au cas
par cas, comme le TIF de McAfee: http://tif.mcafee.com/heartbleedtest
Les correctifs doivent, eux, être installés directement sur les serveurs par leurs administrateurs...
__________________
Ce qu'il faut d'Urgence aux Humains, c'est une Nouvelle Pensée sur le Réel!!!!!!!
http://www.youtube.com/watch?v=hMkdhVQMBHY
http://www.youtube.com/watch?v=L4g6IKiiZM0
https://www.youtube.com/watch?v=U9AL0p8t-Ww
https://www.youtube.com/watch?v=pwKG_5hIqm8
Revenir en haut
Visiter le site web du posteur
Admin Bernie
Administrateur

Hors ligne

Inscrit le: 28 Sep 2009
Messages: 8 274

MessagePosté le: Mar 24 Juin - 18:55 (2014)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

Heartbleed fait toujours des ravages!!!!!!!!!!!!!!!!!!!

Lundi 23 Juin 2014

On l'avait pratiquement oublié, mais la faille internet intitulée Heartbleed révélée en avril 2014
semble toujours faire autant de victimes. Selon un récent rapport d'Errata Security, près de 300.000
serveurs seraient toujours vulnérables de cette faille. Assez inquiétant lorsque l'on sait que cette
société spécialisée dans la sécurité internet, avait annoncé le chiffre de 309.000, en mai dernier, ce
qui veut dire que seulement 9.000 serveurs ont reçus une mise à jour en un mois.
«Ça montre que des gens ont tout simplement arrêté d'essayer de trouver un patch» peut-on lire
sur le blog de l'entreprise. Errata Security se veut néanmoins optimiste en avançant que les serveurs
concernés continuent de diminuer

Certains systèmes ne recevront jamais de patch
Dans les jours qui ont précédé la découverte d'Heartbleed, près de 1.000 sites connus dans le monde
ont reçu un patch, comme Yahoo qui était largement exposé à cette faille. Cependant, il se pourrait que
certains systèmes ne reçoivent jamais de patch, parmi lesquels se trouvent des terminaux android.

Pour éviter de tomber dans une cyberparanoïa, il est possible d'installer un détecteur Heartbleed.

Pour rappel, une personne malintentionnée peut se servir d'Heartbleed pour recueillir des informations
personnelles sur les utilisateurs. Il est donc recommandé de faire preuve de prudence au moment de
rentrer des données bancaires sur un site internet, et de ne pas utiliser plusieurs fois le même mot de
passe...

__________________
Ce qu'il faut d'Urgence aux Humains, c'est une Nouvelle Pensée sur le Réel!!!!!!!
http://www.youtube.com/watch?v=hMkdhVQMBHY
http://www.youtube.com/watch?v=L4g6IKiiZM0
https://www.youtube.com/watch?v=U9AL0p8t-Ww
https://www.youtube.com/watch?v=pwKG_5hIqm8
Revenir en haut
Visiter le site web du posteur
Admin Bernie
Administrateur

Hors ligne

Inscrit le: 28 Sep 2009
Messages: 8 274

MessagePosté le: Mer 25 Juin - 18:30 (2014)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

La faille Heartbleed est là pour durer!!!!!!!!!!!!!!!!!!!

Lundi 23 Juin 2014
Plus de 300.000 systèmes sont toujours vulnérables, deux mois après la découverte de ce bug. Selon un expert
en sécurité, ce n'est pas prêt de se résorber. Il faudra vivre avec
Mauvaise nouvelle : la faille Heartbleed, qui a secoué la Toile il y a deux mois, ne disparaîtra probablement jamais!
Robert Graham, un consultant de la société Errata Security, vient de faire un scan sur Internet et a découvert
309.197 systèmes toujours vulnérables. Or, il y a un mois il en avait dénombré 318.239, et 600.000 au moment
de la découverte de la faille. « Cela indique que les gens n'essayent même plus d'appliquer le patch. On devrait
assister à une légère décroissance dans les 10 ans qui viennent, suite au renouvellement des appareils. Mais
même d'ici à dix ans, je suis certain que je trouverai encore des milliers de systèmes vulnérables, y compris des
systèmes critiques », explique Robert Graham. De quels systèmes parle-t-on ? Heureusement, ceux des services
les plus utilisés - Facebook, Google, Yahoo, etc. - avaient été rapidement corrigés. Il reste donc les sites web moins
fréquentés, mais aussi des systèmes auxquels on ne pense pas directement comme les appareils connectés (webcam,
disques durs en réseaux...) et les applications mobiles. Les internautes ont donc intérêt à rester vigilants et à
vérifier que les sites exotiques qu'ils consultent ne sont pas vulnérables, au travers des différents tests en ligne.
A noter, enfin, la multiplication d'alternatives au protocole OpenSSL, responsable de la faille Heartbleed. En avril,
des développeurs ont lancé le projet LibreSSL, qui vise à créer un dérivé (fork) d'OpenSSL dont le code serait
nettoyé et audité d'un point de vue sécurité. De son côté, Google veut regrouper un certain nombre de fonctionnalités
censées améliorer OpenSSL dans une librairie baptisée BoringSSL. Tout un programme...
__________________
Ce qu'il faut d'Urgence aux Humains, c'est une Nouvelle Pensée sur le Réel!!!!!!!
http://www.youtube.com/watch?v=hMkdhVQMBHY
http://www.youtube.com/watch?v=L4g6IKiiZM0
https://www.youtube.com/watch?v=U9AL0p8t-Ww
https://www.youtube.com/watch?v=pwKG_5hIqm8
Revenir en haut
Visiter le site web du posteur
Contenu Sponsorisé






MessagePosté le: Aujourd’hui à 11:16 (2016)    Sujet du message: L'Enorme Faille de Sécurité Internet: Heartbleed

Revenir en haut
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    Couteaux des Gaules et d'Ailleurs Index du Forum -> Autres que les couteaux Toutes les heures sont au format GMT + 1 Heure
Aller à la page: <  1, 2
Page 2 sur 2

 
Sauter vers:  

Index | forum gratuit | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation
Powered by phpBB © 2001, 2016 phpBB Group
Traduction par : phpBB-fr.com