Ouvrir le menu principal

MacGeneration

Recherche

Heartbleed : attention à cette méchante faille OpenSSL

Anthony Nelzin-Santos

mardi 08 avril 2014 à 21:20 • 16

Ailleurs

C’est avec stupeur que le monde a découvert l’existence d’Heartbleed, une faille majeure d’OpenSSL. Une surprise d’autant plus grande que la société de sécurité qui l’a découvert a préféré se faire un coup de pub avec un site dédié plutôt que d’avertir les développeurs de cette implémentation SSL/TLS open source et des principaux systèmes l’utilisant.

Une conduite extrêmement légère au vu de la gravité de cette faille : elle permet à un attaquant d’accéder directement à la mémoire des machines touchées. De quoi récupérer les clefs privées de chiffrement et compromettre l’ensemble des données hébergées, sans laisser la moindre trace. En testant cette faille, les chercheurs ont pu accéder « aux clefs privées de [leurs] certificats X.509, identifiants et mots de passe, messages, courriers, documents professionnels et communications. »

Heartbleed touche OpenSSL 1.0.1 à 1.0.1f, ainsi que la préversion 1.0.2, sur diverses versions de Debian, Ubuntu, CentOS, Fedora, OpenBSD, FreeBSD, NetBSD et OpenSUSE. Un correctif est d’ores et déjà disponible, mais il faudra du temps avant qu’il soit largement diffusé, temps pendant lequel de très nombreux serveurs seront ouverts aux quatre vents. Même lorsque le correctif sera appliqué sur une majorité de serveurs, tous les problèmes ne seront pas rentrés dans l’ordre : les services devront régénérer leurs certificats et les utilisateurs leurs mots de passe, ce qui prendra là encore du temps.

Un certain nombre de sociétés ont donc décidé de fermer leurs services dans l’intervalle, comme Minecraft ou Wunderlist, alors que d’autres comme Cloudflare et Gandi ont mis à jour leur infrastructure. Un test permet de savoir si un site précis est concerné, mais n’est pas fiable à 100 %. Les serveurs de Yahoo! et Amazon semblent touchés, mais pas ceux de Google, d’Apple ni de certaines banques, qui utilisent d’autres implémentations de SSL/TLS.

[MàJ à 22h10] Yahoo! a patché sa page d'accueil, son moteur de recherche, son service de messagerie, Flickr, Tumblr et quelques-uns de ses sites média.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Sortie de veille : on décortique les résultats financiers records d’Apple

08:00

• 0


Apple abandonnerait l’idée de lunettes connectées, et laisserait Meta poursuivre seule l’idée

02:11

• 26


Magazine des 25 ans : plus que quelques jours pour précommander votre exemplaire

31/01/2025 à 23:30

• 10


Apple insiste pour aider Google dans son procès, et fait appel de la décision de la cour de justice

31/01/2025 à 21:00

• 5


Première grosse mise à jour de MainStage depuis 2023

31/01/2025 à 20:00

• 5


Le CEC fonctionne en HDMI sur les Mac M3 et M4

31/01/2025 à 18:30

• 19


Caldigit met quatre ports Thunderbolt 5 dans une minuscule station d’accueil

31/01/2025 à 17:00

• 16


NordVPN veut simplifier la connexion à son service sur les réseaux bloquant les VPN

31/01/2025 à 15:00

• 26


Promo : MacBook Air M3 avec 16/512 Go à seulement 1 209 € (-320 €)

31/01/2025 à 14:59

• 12


Passez à Microsoft Office pour moins de 40 € avec les soldes d'hiver 2025 de Godeal24 📍

31/01/2025 à 14:23


Orange commence à démanteler son réseau ADSL en France

31/01/2025 à 12:37

• 69


2,35 milliards d’appareils Apple actifs dans le monde

31/01/2025 à 10:20

• 34


Comment empêcher son MacBook de démarrer automatiquement à l'ouverture de l'écran ou au branchement sur secteur

31/01/2025 à 07:37

• 72


Résultats Apple T1 2025 : l'iPad et le Mac à la fête, l'iPhone en difficulté

30/01/2025 à 23:10

• 118


Le Pentagone bloque l’accès à DeepSeek à ses employés, après avoir constaté de nombreux accès au chatbot

30/01/2025 à 21:45

• 24


Payer son ticket avec sa carte bancaire dans les transports parisiens, ce n’est pas pour demain

30/01/2025 à 21:29

• 72