| - | |
 |
Avril
2014 |
 - |
| Vulnérabilité
découverte dans OpenSSL : "Heartbleed bug" - |
| DESCRIPTION DE LA
VUNERABILITÉ |
|
Heartbleed est une faille de sécurité dont la découverte a été annoncée lundi 07 Avril par les équipes de Google Security. La faille touche l'un des piliers de la sécurité en ligne, le protocole OpenSSL, utilisé par environ deux sites Internet sur trois pour crypter le trafic entre le PC de l'utilisateur et un serveur. Le bug fonctionne de la manière suivante : Si un hacker frappe à la porte d'un site Web pour demander si quelqu'un est là, au lieu de simplement répondre «oui», le site jette par la fenêtre les dernières informations qui étaient stockées temporairement dans l'entrée (sa mémoire vive). Techniquement, la vulnérabilité affecte les versions d’OpenSSL 1.0.1 à 1.0.1f et 1.0.2-beta à 1.0.2-beta1 d’OpenSSL et permet de récupérer 64KB de la mémoire distante du processus du serveur utilisant OpenSSL. Cette mémoire peut contenir diverses choses intéressantes comme, la clé privé du serveur, les clés des sessions SSL/TLS ou encore les requêtes/réponses des requêtes HTTPS avec éventuellement les identifiants de connexion à l’application sous-jacentes ou les cookies de sessions. Au milieu de données sans intérêt peuvent se trouver un numéro de carte bancaire ou un mot de passe.  |
|||||||||
- |
|||||||||
| RASSUREZ-VOUS ! LES FIREWALLS DE NOS PARTENAIRES ONT DÉJA RÉSOLU LE BUG... | |||||||||
Si vous souhaitez
l’assistance d’Aquastar Consulting pour
vérifier la configuration de vos firewalls, contactez-nous.
- |
| - |
| TESTEZ VOTRE ENVIRONNEMENT : |
| - Testez les
services que vous utilisez en environnement HTTPS, cet outil gratuit en
ligne vous permettra de faire une première passe sur vos
domaines ou boîte de messagerie :
 Pour plus d’information : http://filippo.io/Heartbleed/ |