Ouvrir le menu principal

MacGeneration

Recherche

Heartbleed : attention à cette méchante faille OpenSSL

Anthony Nelzin-Santos

mardi 08 avril 2014 à 21:20 • 16

Ailleurs

C’est avec stupeur que le monde a découvert l’existence d’Heartbleed, une faille majeure d’OpenSSL. Une surprise d’autant plus grande que la société de sécurité qui l’a découvert a préféré se faire un coup de pub avec un site dédié plutôt que d’avertir les développeurs de cette implémentation SSL/TLS open source et des principaux systèmes l’utilisant.

Une conduite extrêmement légère au vu de la gravité de cette faille : elle permet à un attaquant d’accéder directement à la mémoire des machines touchées. De quoi récupérer les clefs privées de chiffrement et compromettre l’ensemble des données hébergées, sans laisser la moindre trace. En testant cette faille, les chercheurs ont pu accéder « aux clefs privées de [leurs] certificats X.509, identifiants et mots de passe, messages, courriers, documents professionnels et communications. »

Heartbleed touche OpenSSL 1.0.1 à 1.0.1f, ainsi que la préversion 1.0.2, sur diverses versions de Debian, Ubuntu, CentOS, Fedora, OpenBSD, FreeBSD, NetBSD et OpenSUSE. Un correctif est d’ores et déjà disponible, mais il faudra du temps avant qu’il soit largement diffusé, temps pendant lequel de très nombreux serveurs seront ouverts aux quatre vents. Même lorsque le correctif sera appliqué sur une majorité de serveurs, tous les problèmes ne seront pas rentrés dans l’ordre : les services devront régénérer leurs certificats et les utilisateurs leurs mots de passe, ce qui prendra là encore du temps.

Un certain nombre de sociétés ont donc décidé de fermer leurs services dans l’intervalle, comme Minecraft ou Wunderlist, alors que d’autres comme Cloudflare et Gandi ont mis à jour leur infrastructure. Un test permet de savoir si un site précis est concerné, mais n’est pas fiable à 100 %. Les serveurs de Yahoo! et Amazon semblent touchés, mais pas ceux de Google, d’Apple ni de certaines banques, qui utilisent d’autres implémentations de SSL/TLS.

[MàJ à 22h10] Yahoo! a patché sa page d'accueil, son moteur de recherche, son service de messagerie, Flickr, Tumblr et quelques-uns de ses sites média.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Promo : le MacBook Air M3 16 Go à 1099 € (+ une cagnotte de 109 € chez Leclerc)

18:16

• 6


Easter Egg : quand Apple cache des petites blagues dans ses produits

10:00

• 12


Plans commence à rebaptiser le Golfe du Mexique 🆕

09:45

• 163


Avec visionOS 2.4, le Vision Pro devrait s'ouvrir à Apple Intelligence

09:01

• 14


DockKit, la technologie Apple dont vous ignorez probablement l'existence, s'améliore encore

15/02/2025 à 12:37

• 12


Sortie de veille : le premier produit Apple de l’année fait-il battre notre cœur ?

15/02/2025 à 08:00

• 12


iPhone SE 4 : les chiffres de vente devraient cartonner, selon Ming Chi-Kuo

15/02/2025 à 07:30

• 52


Le site gouvernemental DOGE.gov monté à l’arrache... et piraté en quelques heures

14/02/2025 à 20:30

• 209


Severance : comment imprimer en 3D son PC Lumon Industries

14/02/2025 à 16:23

• 8


Synology présente des caméras qui se passent de NAS

14/02/2025 à 14:45

• 9


Le marché des appareils photo reprend de pâles couleurs

14/02/2025 à 12:45

• 29


Acheter un Mac mini M2 à 369 € chez Apple, c'est possible !

14/02/2025 à 11:59

• 34


Interop revient pour améliorer la compatibilité de Safari, Chrome et Firefox

14/02/2025 à 11:15

• 10


Écoutes de Siri : la Ligue des droits de l’homme porte plainte contre Apple

14/02/2025 à 10:32

• 117


Netflix commencerait à s'intégrer dans l'app TV d'Apple

14/02/2025 à 09:57

• 39


Apple rafraîchirait son Studio Display 5K avec du mini-LED

14/02/2025 à 07:21

• 35