[ad_1]

Des chercheurs ont découvert une vulnérabilité extrêmement critique dans les versions récentes de OpenSSL, une technologie qui permet à des millions de sites Web de crypter les communications avec les visiteurs. Pour compliquer encore les choses, la publication d’un exploit simple qui peut être utilisé pour voler les noms d’utilisateur et les mots de passe des sites vulnérables, ainsi que les clés privées que les sites utilisent pour chiffrer et déchiffrer les données sensibles.

Crédit : Heartbleed.com

Crédit : Heartbleed.com

À partir de Heartbleed.com:

« Le bug Heartbleed permet à n’importe qui sur Internet de lire la mémoire des systèmes protégés par les versions vulnérables du logiciel OpenSSL. Cela compromet les clés secrètes utilisées pour identifier les fournisseurs de services et pour chiffrer le trafic, les noms et mots de passe des utilisateurs et le contenu réel. Cela permet aux attaquants d’écouter les communications, de voler des données directement aux services et aux utilisateurs et d’usurper l’identité des services et des utilisateurs.

Un avis de CERT de l’Université Carnegie Mellon Remarques que la vulnérabilité est présente dans les sites alimentés par OpenSSL versions 1.0.1 à 1.0.1f. Selon Netcraft, une entreprise qui surveille la technologie utilisée par divers sites Web, plus d’un demi-million de sites sont actuellement vulnérables. Depuis ce matin, cela comprenait Yahoo.comet — ironiquement — le site Web de openssl.org. Cette liste sur Github semble être un test relativement récent de la présence de cette vulnérabilité dans les 1 000 meilleurs sites indexés par la société de classement Web Alexa.

Un exploit facile à utiliser et largement commercialisé en ligne permet à un attaquant de récupérer la mémoire privée d’une application qui utilise la bibliothèque vulnérable OpenSSL « libssl » par blocs de 64 Ko à la fois. Comme le note le CERT, un attaquant peut exploiter à plusieurs reprises la vulnérabilité pour récupérer autant de blocs de mémoire de 64 000 nécessaires pour récupérer les secrets voulus.

Jamie BlascoDirecteur de Laboratoires AlienVaulta déclaré que ce bogue a des « répercussions épiques » car non seulement il expose les mots de passe et les clés cryptographiques, mais afin de s’assurer que les attaquants ne pourront pas utiliser les données compromises par cette faille, les fournisseurs concernés doivent remplacer le clés privées et certificats après avoir corrigé le service OpenSSL vulnérable pour chacun des services utilisant la bibliothèque OpenSSL [full disclosure: AlienVault is an advertiser on this blog].

Il est probable qu’un grand nombre d’internautes seront invités à changer leur mot de passe cette semaine (je l’espère). En attendant, les entreprises et les organisations exécutant des versions vulnérables doivent effectuer une mise à niveau vers la dernière itération d’OpenSSL – OpenSSL 1.0.1g — le plus rapidement possible.

Mise à jour, 14h26 : Il semble que cette page Github permet aux visiteurs de tester si un site est vulnérable à ce bug (coup de chapeau à Sandro Suffert). Pour en savoir plus sur ce que vous pouvez faire pour vous protéger de cette vulnérabilité, consultez cet article.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *