Ouvrir le menu principal

MacGeneration

Recherche

Heartbleed : attention à cette méchante faille OpenSSL

Anthony Nelzin-Santos

mardi 08 avril 2014 à 21:20 • 16

Ailleurs

C’est avec stupeur que le monde a découvert l’existence d’Heartbleed, une faille majeure d’OpenSSL. Une surprise d’autant plus grande que la société de sécurité qui l’a découvert a préféré se faire un coup de pub avec un site dédié plutôt que d’avertir les développeurs de cette implémentation SSL/TLS open source et des principaux systèmes l’utilisant.

Une conduite extrêmement légère au vu de la gravité de cette faille : elle permet à un attaquant d’accéder directement à la mémoire des machines touchées. De quoi récupérer les clefs privées de chiffrement et compromettre l’ensemble des données hébergées, sans laisser la moindre trace. En testant cette faille, les chercheurs ont pu accéder « aux clefs privées de [leurs] certificats X.509, identifiants et mots de passe, messages, courriers, documents professionnels et communications. »

Heartbleed touche OpenSSL 1.0.1 à 1.0.1f, ainsi que la préversion 1.0.2, sur diverses versions de Debian, Ubuntu, CentOS, Fedora, OpenBSD, FreeBSD, NetBSD et OpenSUSE. Un correctif est d’ores et déjà disponible, mais il faudra du temps avant qu’il soit largement diffusé, temps pendant lequel de très nombreux serveurs seront ouverts aux quatre vents. Même lorsque le correctif sera appliqué sur une majorité de serveurs, tous les problèmes ne seront pas rentrés dans l’ordre : les services devront régénérer leurs certificats et les utilisateurs leurs mots de passe, ce qui prendra là encore du temps.

Un certain nombre de sociétés ont donc décidé de fermer leurs services dans l’intervalle, comme Minecraft ou Wunderlist, alors que d’autres comme Cloudflare et Gandi ont mis à jour leur infrastructure. Un test permet de savoir si un site précis est concerné, mais n’est pas fiable à 100 %. Les serveurs de Yahoo! et Amazon semblent touchés, mais pas ceux de Google, d’Apple ni de certaines banques, qui utilisent d’autres implémentations de SSL/TLS.

[MàJ à 22h10] Yahoo! a patché sa page d'accueil, son moteur de recherche, son service de messagerie, Flickr, Tumblr et quelques-uns de ses sites média.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Émulation : comment jouer à ses vieux jeux sur iPhone ou iPad ?

26/04/2025 à 10:49

• 9


Pour le producteur de La Maison, « Apple est la pire boîte marketing de l’univers »

26/04/2025 à 00:08

• 82


Upscaling vidéo et restauration photo plus rapides sur Mac/PC : VideoProc AI mis à jour est à - 62 % 📍

25/04/2025 à 17:44

• 0


Derniers jours Apple week à la Fnac : -10 % sur des MacBook Pro, iPhone 15 Pro à 16 Pro Max et iPad Pro M4

25/04/2025 à 16:00

• 7


dav1d, le décodeur AV1 le plus optimisé qu'Apple refuse d'utiliser

25/04/2025 à 14:00

• 5


Microsoft a conçu une publicité par IA et personne n’a rien vu

25/04/2025 à 13:45

• 32


Razer lance sa première souris ergonomique verticale face à Logitech

25/04/2025 à 12:15

• 10


Yahoo! veut acheter Chrome

25/04/2025 à 10:45

• 36


Slate veut repartir de zéro avec un pick-up électrique compact et épuré pour moins de 20 000 $

25/04/2025 à 10:00

• 112


iPadOS 19 verrait apparaître une barre de menus sur iPad

25/04/2025 à 09:24

• 48


Huit ans après DeX, Apple s’ouvrirait peu à peu à un bureau sur écran externe pour iOS 19

25/04/2025 à 09:23

• 52


John Giannandrea aurait aussi perdu l'équipe en charge de la robotique chez Apple

25/04/2025 à 07:39

• 12


Les procès antitrust contre les GAFAM se poursuivent aux USA, malgré les changements de présidence

24/04/2025 à 21:30

• 28


Prise en main de Supercharge, l’app à tout faire qui rend bien des services sur le Mac

24/04/2025 à 20:30

• 18


TSMC annonce la gravure en 1.4 nm, quand la Russie espère atteindre les 28 nm en 2030

24/04/2025 à 20:20

• 56


Données personnelles : comment Incogni supprime ce que les autres ne peuvent pas 📍

24/04/2025 à 18:17

• 0