COMPTOIR
  
register

Composé par ————— —— 16810 vues

Une grave faille d'OpenSSL touche les sites web, les NAS, le Bitcoin et les données personnelles

Une importante faille de sécurité a été découverte dans OpenSSL, la bibliothèque open-source qui implémente les protocoles SSL et TLS dans certains systèmes d'exploitation comme Linux, OS X ou encore iOS et Android. Cette faille est présente depuis 2 ans et pourrait permettre de subtiliser des données personnelles censées être chiffrées. Ce système de chiffrement est utilisé par la plupart des sites web pour les connexions HTTPS. Cette faille pourrait donc être très dangereuse pour les particuliers et les professionnels.

 

La faille est connue sous le nom de Heartbleed et un site a été mis en place pour expliquer son fonctionnement ainsi que les risques encourus par l'utilisation des versions d'OpenSSL touchées par la faille (de la 1.0.1 à la 1.0.1f). Les personnes possédant un serveur sous Linux sont donc invités à mettre à jour OpenSSL vers la version 1.0.1g dépourvue de ce "bug". Sinon, les pirates peuvent accéder à la mémoire du serveur et lire les informations transmises vers et depuis les ordinateurs des utilisateurs du site en question. Les pirates peuvent également récupérer les clefs privés et se reconnecter au serveur même si la faille a été colmatée. Il faut donc mettre à jour les certificats SSL pour changer la clef. Il n'y a aucun moyen pour le moment de savoir si la faille a été utilisée par des pirates car son utilisation ne laisse pas de trace, contrairement à Pascal aux waters.

 

heartbleed.jpg  

 

Les sites web ont été les principaux touchés et on peut imaginer les conséquences néfastes si cette faille a été utilisée sur des webmails ou encore des sites bancaires. Mais des NAS sont également touchés par cette faille du fait du serveur web intégré en leur sein. C'est le cas de certains Synology, Asustor ou Thecus. Synology prépare une mise à jour à destination des versions 4.2, 4.3 et 5.0 du DSM. Du côté des cryptomonnaies, le protocole Bitcoin est également touché et a été mis à jour. Un site a été créé pour tester la vulnérabilité de vos visites sur Internet. Et vu que le Comptoir tourne sous une base de BX, il n'y a pas de soucis à se faire. (Source : PCI)

Un poil avant ?

Les versions Lite et Business de Zorin OS 8 sont disponibles

Un peu plus tard ...

The Evil Within : Shinji Mikami de retour avec un trailer qui n'est pas pour les fillettes !

Les 19 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par Guérande, le Samedi 12 Avril 2014 à 10h58  
La radio : Et on apprend qu'il y aurait une grosse faille dans openSSL, faille qui (...)

Hackeur 1: Ah zut, après deux ans il s'en sont enfin rendu compte

Hackeur 2 : On s'en fou on a plus de 300 000 numéros de cartes bancaires et 400 000 compte facebook, on est riche grâce a ces cons !
par j38, le Samedi 12 Avril 2014 à 00h00  
par Un ragoteur qui revient de Bretagne le Vendredi 11 Avril 2014 à 09h34
ouai enfin ceux qui l'exploiterons sont des hacker a 2 balles.
Le risque est minime maintenant que c'est corrigé. Ce qui est inquiétant c'est de savoir si des esprits mal intentionnés s'en sont servis. Depuis quand ? Quelles informations ont-ils volées ?
par Un ragoteur qui revient de Bretagne, le Vendredi 11 Avril 2014 à 09h34  
ouai enfin ceux qui l'exploiterons sont des hacker a 2 balles.
par Florian L., le Vendredi 11 Avril 2014 à 06h57  
par Raiku le Jeudi 10 Avril 2014 à 21h01
Du coup si on veut être tranquille lorsqu'on commande quelque chose sur internet, il faut évité d'être sur un site https? />
par Raiku, le Jeudi 10 Avril 2014 à 21h01  
Du coup si on veut être tranquille lorsqu'on commande quelque chose sur internet, il faut évité d'être sur un site https?
par Un ragoteur qui revient de Pays de la Loire, le Jeudi 10 Avril 2014 à 20h17  
Ni mes sites web, ni mon NAS, ni mes emails n'utilisent de protections SSL.
Ouf je suis tranquille avec cette faille !
par Un ragoteur qi ragote sec d'Ile-de-France, le Jeudi 10 Avril 2014 à 18h41  
Vive la Bx
par j38, le Jeudi 10 Avril 2014 à 17h30  
par Un ragoteur de passage de Picardie le Jeudi 10 Avril 2014 à 16h35
Je sais pas si il y a une différence entre accès web et serveur web? J'ai juste activé l'accès de mon NAS à ma famille depuis leurs maison grâce à mon adresse IP qui est fixe
Tu as déjà un serveur Web dans ton NAS qui gère l'interface d'administration par ton navigateur. L'accès Web c'est si ton NAS est accessible ou non depuis l'extérieur. Ça ne s'applique pas qu'au serveur Web mais comme la faille concerne l'accès au serveur Web par HTTPS seul l'accès au serveur Web est impacté.
par Un ragoteur qui se tâte de Picardie, le Jeudi 10 Avril 2014 à 17h27  
par Vision le Jeudi 10 Avril 2014 à 16h56
On peut légitimement se le demander. Mais avec les logiciels libres, on peut en général voir qui a fait quoi et quand. De plus, sur ce genre de projet, chaque changement est vérifié par plusieurs gars. Il est donc difficile de laisser une faille en douce...
Mis quant tu vois se que peux faire google avec son android, on se pose des questions:
lien
par Un ragoteur qui draille de Provence-Alpes-Cote d'Azur, le Jeudi 10 Avril 2014 à 17h17  
Il y a un update pour les synology en v5
par Vision, le Jeudi 10 Avril 2014 à 16h56  
par Un ragoteur de Tabassage embusqué le Jeudi 10 Avril 2014 à 16h16
L'ingenieur laisse express une faille, que il et quasi le seul a connaitre, de cette maniere il peut piller les infos voir le pognon (Bitcoin) en toute legalité et tranquilité
On peut légitimement se le demander. Mais avec les logiciels libres, on peut en général voir qui a fait quoi et quand. De plus, sur ce genre de projet, chaque changement est vérifié par plusieurs gars. Il est donc difficile de laisser une faille en douce...
par Flow, le Jeudi 10 Avril 2014 à 16h51  
Mes sites sont pas pris en charge par l'utilitaire de test pour le moment . Bon, de toutes manières j'ai aucun utilisateur enregistré dessus, j'utilise des API pour la connexion .