IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

HeartBleed, l'une des pires failles de sécurité d'Internet ?
Entre théorie du complot, paranoïa et angoisse, le monde de l'IT tremble

Le , par Arsene Newman
120 commentaires

76PARTAGES

1  0 
Ces dernières heures, vous avez probablement entendu parler de cette faille de sécurité qui attaque en plein cœur la sécurité du Web : Heartbleed ("cœur qui saigne".


Elle touche OpenSSL et est présente dans la bibliothèque de chiffrement en version 1.0.1 et 1.0.2 bêta. La première étant aujourd'hui largement déployée, la découverte de cette faille a de quoi soulever des inquiétudes. Elle permet en effet à un attaquant d'accéder à des données sécurisées par TLS/SSL directement dans la mémoire du serveur, en récupérant les clefs. Cela aurait également pu impacter les certificats, pourtant réputés comme très sûrs.

Un ingénieur de Google, Adam Langley, qui a participé à la création du correctif, a quelque peu calmé le jeu sur Tweeter en indiquant qu'il n'avait pas réussi à récupérer les clefs, seulement un cookie.

Les géants du Web ont déjà appliqué le correctif, cependant les sites plus modestes ne sont pas encore tous immunisés. Les principaux éditeurs de logiciel font également leur maximum pour pousser le correctif chez leurs clients. Il est possible de vérifier si un site est vulnérable ou non en utilisant le site http://filippo.io/Heartbleed/.

La publication de cette faille de sécurité a eu lieu avant même que le moindre patch ne soit disponible, ce qui a provoqué une réaction très rapide des principaux acteurs du Web.

En attendant, il est recommandé d'être prudent lorsqu'un site utilise une connexion cryptée par SSL/TLS (url commençant par HTTPS). Changer de mot de passe n'est pas une solution, car celui-ci pourrait être récupéré via un site vulnérable lors du changement.

Si votre site est vulnérable, n'attendez pas pour appliquer le patch 1.0.1g sur vos serveurs. Il est disponible ici : http://www.openssl.org/source/
Il faut également déposer de nouvelles clés et renouveler son certificat de sécurité.
Vous avez lu gratuitement 0 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

120 commentaires
Commenter Signaler un problème
Tryph
Avatar de Tryph
Membre émérite https://www.developpez.com
Le 14/04/2014 à 15:15
Citation Envoyé par GTSLASH Voir le message
enfin -50. Il vous en a fallu du temps

J'ai touche une corde sensible apparemment. Et pourtant les faits son la il n'y a même pas a discuter.
c'est "amusant": tu nous expliques depuis le début que l'open-source est incapable de se remettre en question (ça veut pas dire grand chose mais on comprend ce que tu essaies de dire) et à aucun moment tu n'imagines que si les gens te down-votent c'est peut être parce que tu dis n'importe quoi.

non tu préfères croire que c'est parce que tu as découvert "une vérité qui dérange"... et peut être qu'un complôt franc-maçonique chercher à te discréditer..?

tu vois ou je veux en venir...? remise en question... tout ça...

tu te demandes pourquoi des gens te mettent des "moins". alors je vais parler de mon cas:
j'ai déjà lu des masses de messages venant de toi et ça tourne toujours autour du même thême: "l'open-source c'est mal, on peut pas leur faire de procès. Microsoft est une entreprise de dieux vivants". tu dis toujours la même chose, je sais déjà ce que ton message va dire avant de le lire. et une fois arrivé à la fin du message j'ai la déception de me rendre compte que j'ai deviné juste.
je ne veux pas perdre 20 minutes à faire une réponse argumentée que tu ne liras pas, avec des sources que tu ne lira pas non plus. je te mets un "moins", ça va plus vite et c'est pas moins efficace.
j'espère avoir éclairé ta lanterne, mais en même temps, je doute que tu aies lu jusque là...
10  1 
Neckara
Avatar de Neckara
Inactif https://www.developpez.com
Le 14/04/2014 à 6:38
Bonjour,

Tes sources disent pourtant :

Cette faille daterait d'il y a deux ans et aurait été découverte la nuit du lundi 7 avril au mardi 8 avril 2014.
Donc à partir de la découverte de la faille à sa correction, tout a été très réactif.

Après on ne peut pas corriger des bugs qu'on ne connaît pas et avoir un logiciel avec 0 bugs est impossible. De même ce n'est pas parce qu'un bug existe qu'on est au courant de son existence.
8  0 
Avatar de
https://www.developpez.com
Le 15/04/2014 à 13:55
Pas toujours facile de planifier un donwtime pour patcher le(s) équipement(s) impacté(s)...

En attendant, vous pouvez carrément bloquer le heartbeat du handshake TLS avec la règle iptable suivante :

Code : Sélectionner tout 
iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP
Il faudra bien sûr adapter le --dport si ce n'est pas de l'https et vérifier qu'il n'y a pas d'impact fonctionnel sur votre appli... A tester donc évidemment avant toute mise en prod...

Steph
7  0 
Algo D.DN
Avatar de Algo D.DN
Membre éprouvé https://www.developpez.com
Le 15/04/2014 à 17:49
En cas de besoin concernant les distributions (GNU-Linux), les bulletins de sécurité OpenSSL se trouvent aux adresses respectives ci-dessous:

Bulletin Red Hat: https://rhn.redhat.com/errata/RHSA-2014-0376.html

Bulletin Fedora: https://lwn.net/Articles/594066/

Bulletin OpenSuSe: http://lists.opensuse.org/opensuse-s.../msg00005.html

Bulletin Debian: http://www.debian.org/security/2014/dsa-2896

Bulletin FreeBSD: http://www.freebsd.org/security/advi...06.openssl.asc
5  0 
Traroth2
Avatar de Traroth2
Membre émérite https://www.developpez.com
Le 06/06/2014 à 10:27
Ces 7 failles n'auraient pas été découvertes sans Heartbleed. A quelque chose malheur est bon...

C'est la NSA qui va commencer à faire la tête : leurs portes secrètes sont murées les unes après les autres !
5  0 
forthx
Avatar de forthx
Membre éprouvé https://www.developpez.com
Le 14/04/2014 à 15:19
Qu’en pensez-vous ?
C'est pas joli joli.
La conspiration face au concept: "c'est open source donc c'est plus sûr car revu par beaucoup de contributeurs" laisse songeur.(Ce qui est sur, c'est ce c'est injuste de mettre ca sur le dos de la communauté, cf. licence)
Après il y a plein de failles découvertes tout les jours, plus au moins sérieuses (les applets java en ont pris pour leur grade il y a pas si longtemps). Alors ok celle la est particulièrement croustillante ! Il va falloir que les professionnels réagissent vite pour limiter la casse.
Ce qui me parait sage? couper les serveurs le temps de patcher, mais c'est évidement délicat, malgré le fait que plus l'application est critique, plus les risque d'être ciblé sont grand.
Dans le croustillant il y a ca aussi : http://thehackernews.com/2014/04/Oba...y-Exploit.html

Mais pour répondre a la question : "HeartBleed, l’une des pires failles de sécurité d’Internet ?"
Je pense que non. pour moi, la pire faille, c'est celle qui est exploitée et qu'on ne connais pas. C'était peut être HeartBleed les deux dernières années mais ca ne l'est plus.
3  0 
tomlev
Avatar de tomlev
Rédacteur/Modérateur https://www.developpez.com
Le 14/04/2014 à 9:36
Citation Envoyé par Town Ground Voir le message
Pour ce qui est de la "réactivité" la faille en question date d'il y a ... deux ans! Donc si pendant les deux dernières années ton compte en banque n'a pas été vidé, tu peux bien attendre encore un peu avant de changer de mot de passe...
Pendant 2 ans, le bug existait, mais la plupart des gens l'ignoraient. A partir du moment où tout le monde connait l'existence du bug, sa nature, et la facilité avec laquelle il peut être exploité, combien de temps crois-tu que les script kiddies vont attendre pour s'attaquer aux serveurs encore vulnérables ?
2  0 
Avatar de
https://www.developpez.com
Le 14/04/2014 à 22:54
Juniper et Cisco ont sorti leurs bulletins :

http://kb.juniper.net/InfoCenter/ind...nt&id=JSA10623

http://tools.cisco.com/security/cent...409-heartbleed

Je sens que je vais avoir un peu de taf dans les jours qui viennent

Steph
2  0 
Simara1170
Avatar de Simara1170
Membre éprouvé https://www.developpez.com
Le 29/04/2014 à 9:40
Pourquoi on a viré sur un débat Libre/MS?
Pour revenir en arrière
quota approximative:
Si microsoft avait 3 fois une erreur comme ça, il aurait déjà fermé
:
-Windows 95?
-Windows Millenium?
-Windows Vista?
-Windows 8?

Tiens, j'suis à 4, et j'ai pas compté les failles trouvé sur les OS réputés solides de chez MS, la faille dans les fichiers de police sur Xp, c'était quand même bien mignon...
Et puis l'AV de Microsoft, une seule solution -> clic droit -> supprimer, ce truc est une vraie passoire, et passe juste en standard sur ta bécane OEM pour te forcer l'achat d'une suite logicielle entièrement MS. Puis c'est pas comme si MS avait contourné la loi avec Windows 8:
On ne peut plus tatouer les disque durs? Bah c'pas grave, aller on tatoue la CM (secure boot toussa toussa)

Faut arrêter de taper sur OpenSSL parce qu'il y a eu une faille. Y'a eu une merde dans un code open source? Et après? Y'en a jamais eu dans du code proprio? J'aurais tendance à dire qu'il y en a plus: ton code est fermé, alors tu peux programmer comme un gros sale, tu t'en fout, personne pourras le lire, et si un bug est remonté, tu t'en bat le zob tout autant, puisque t'auras déjà fait ton CA dessus, regarde avec Win8: "Vous voulez le retour du bouton démarrer? Ca feras 200€, parce que ça sera sur Win9" (perso, j'ai classic shell et ça m'a coûté 2 minutes de mon temps pour l'installer et le paramétrer...)

Bref, met la faille en regard d'un autre problème bien connu: le bug de l'an 2000: bawi tout est parti en vacances parce qu'on avait pas jugé utile de coder la date sur 4 chiffres...

Il y a eu une faille importante, et il y en aura d'autres à venir...

Petite aparté, sur les DDOS: il est quasiment impossible de se prémunir d'une attaque DDOS bien menée... Et puis une DDOS, c'est pas automatisée? Petite astuce, tape LOIC anonymous sur le Gogole, j'suis sûr que tu trouveras un petit programme adapté dans le cas d'attaque communautaire, et pour les pc zombies, c'est vrai que je vois bien le hacker se faire chier à véroler un par un ses 10k zombies...
5  3 
Pierre GIRARD
Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 01/05/2014 à 12:28
Personnellement, j'ai vécu ce "Bug de l'an 2000" en astreinte, comme pratiquement tout le service. En fin de compte, il ne s'est rien passé pour nous (sur des applications et serveur UNIX). Mais, dès le lendemain, on a quand même appris que des problèmes avaient existé ailleurs.

Par contre, les services développement travaillaient sur ce problème depuis plus d'un an et étaient sensés avoir par avance résolu tous les problèmes potentiels.

Donc :
  1. Le bug de l'an 2000 n'était pas une farce.
  2. Ceux qui ont devancé le problème suffisamment à l'avance n'ont pas eu de bug.


Et d'ailleurs, le même arsenal préventif a été déployé quelques temps plus tard pour le passage à l'Euro.

C'est même grâce à ça qu'une prestation de service est passé de 6 mois à 18 mois, puis ... finalement et de fil en aiguille à 7 ans.
2  0 
Commenter Signaler un problème