Ouvrir le menu principal

MacGeneration

Recherche

Heartbleed : attention à cette méchante faille OpenSSL

Anthony Nelzin-Santos

mardi 08 avril 2014 à 21:20 • 16

Ailleurs

C’est avec stupeur que le monde a découvert l’existence d’Heartbleed, une faille majeure d’OpenSSL. Une surprise d’autant plus grande que la société de sécurité qui l’a découvert a préféré se faire un coup de pub avec un site dédié plutôt que d’avertir les développeurs de cette implémentation SSL/TLS open source et des principaux systèmes l’utilisant.

Une conduite extrêmement légère au vu de la gravité de cette faille : elle permet à un attaquant d’accéder directement à la mémoire des machines touchées. De quoi récupérer les clefs privées de chiffrement et compromettre l’ensemble des données hébergées, sans laisser la moindre trace. En testant cette faille, les chercheurs ont pu accéder « aux clefs privées de [leurs] certificats X.509, identifiants et mots de passe, messages, courriers, documents professionnels et communications. »

Heartbleed touche OpenSSL 1.0.1 à 1.0.1f, ainsi que la préversion 1.0.2, sur diverses versions de Debian, Ubuntu, CentOS, Fedora, OpenBSD, FreeBSD, NetBSD et OpenSUSE. Un correctif est d’ores et déjà disponible, mais il faudra du temps avant qu’il soit largement diffusé, temps pendant lequel de très nombreux serveurs seront ouverts aux quatre vents. Même lorsque le correctif sera appliqué sur une majorité de serveurs, tous les problèmes ne seront pas rentrés dans l’ordre : les services devront régénérer leurs certificats et les utilisateurs leurs mots de passe, ce qui prendra là encore du temps.

Un certain nombre de sociétés ont donc décidé de fermer leurs services dans l’intervalle, comme Minecraft ou Wunderlist, alors que d’autres comme Cloudflare et Gandi ont mis à jour leur infrastructure. Un test permet de savoir si un site précis est concerné, mais n’est pas fiable à 100 %. Les serveurs de Yahoo! et Amazon semblent touchés, mais pas ceux de Google, d’Apple ni de certaines banques, qui utilisent d’autres implémentations de SSL/TLS.

[MàJ à 22h10] Yahoo! a patché sa page d'accueil, son moteur de recherche, son service de messagerie, Flickr, Tumblr et quelques-uns de ses sites média.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Tentant d’éviter les taxes, Sonos mise sur le mauvais cheval

03/04/2025 à 22:30

• 9


Racheter TikTok, un cadeau empoisonné ?

03/04/2025 à 21:20

• 2


Test d'une prison pour smartphone, pour ceux qui n'arrivent pas à abandonner leur iPhone

03/04/2025 à 20:30

• 6


Orange Téléphone donne maintenant le nom du spammeur qui vous appelle

03/04/2025 à 20:15

• 17


Tim Cook encaisse 24,19 millions de dollars d’actions restreintes

03/04/2025 à 20:00

• 13


La Switch 2 est déjà disponible en précommande chez certains revendeurs, avec des promos

03/04/2025 à 19:42

• 50


RED et SFR augmentent à leur tour les frais de résiliation de leurs box Internet

03/04/2025 à 18:15

• 4


Pages, Numbers et Keynote passent à Apple Intelligence

03/04/2025 à 17:45

• 15


L'Arcep observe une inflation des appels indésirables et abusifs chez les abonnés

03/04/2025 à 17:30

• 39


Guerre commerciale : le cours de l’action Apple en compote

03/04/2025 à 17:00

• 100


Promo Fnac : 100 € en cagnotte pour un MacBook Air M4 ou iPhone 16 Pro et 50 € pour les autres 🆕

03/04/2025 à 16:27

• 1


Les droits de douane décrétés par Donald Trump pourraient frapper Apple et ses clients tous azimuts

03/04/2025 à 15:35

• 51


Apple appelle Samsung à l’aide pour l’OLED de l’iPad mini

03/04/2025 à 14:45

• 12


Guerre commerciale : l’Union européenne prête à taxer Apple, Google et les services numériques américains

03/04/2025 à 14:00

• 160


Avec Thundermail, Mozilla veut répondre à Gmail, Proton Mail et les autres

03/04/2025 à 13:15

• 12


macOS Sequoia : le panneau de Mise à jour a été revu en surface

03/04/2025 à 12:15

• 3