Heartbleed : quel impact sur la sécurité d’Open SSL ?

Arnaques InternetProtection des donnéesEscroquerieFaille de sécurité
hearbleed

Heartbleed : quel impact sur la sécurité d’Open SSL ?

hearbleedL’actualité sécurité de ces derniers jours a été marquée par Heartbleed, une faille sérieuse dans le logiciel Open SSL, en charge de crypter le trafic sur internet.

OpenSSL est un logiciel open source utilisé par les sites internet incluant, Google, Gmail, Facebook, Yahoo et bien d’autres encore, pour crypter toutes nos données. Le bug Heartbleed, récemment découvert par 2 chercheurs, est une porte grande ouverte à des attaques de données, stockées sur des serveurs vulnérables.

Nous avons aussi découvert que la faille Heartbleed se trouve déjà dans une version patchée du logiciel OpenSSL datant d’il y a 2 ans. Cette vulnérabilité a très bien pu être utilisée depuis longtemps par n’importe qui, avec les moyens et les ressources adaptés pour l’exploiter.

Les experts en sécurité de Sophos nous ont aidés à comprendre Heartbleed, de quoi il s’agissait, comment se protéger, et pourquoi nous devions être reconnaissants vis-à-vis des logiciels open source, même s’ils ne sont pas parfaits !

[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]Note pour les clients Sophos : Pour obtenir les informations les plus récentes sur l’impact d’Heartbleed sur nos produits, merci de lire l’article consacré sur notre site.[/vc_message][/vc_column][/vc_row]

Internet a perdu son Heartbeat

Chester Wisniewski, Consultant Senior en sécurité chez Sophos, nous dit tout sur la faille Heartbleed et pourquoi elle est si importante pour la sécurité sur internet.

Chet explique qu’Open SSL envoie de petits paquets de données, appelés TLS Heartbeat, entre les serveurs pour s’assurer que la connexion est toujours active.

Il apparait seulement aujourd’hui, que ces serveurs peuvent être trompés et envoyer des données stockées, en réponse à ces pings Heartbeat. Ces données peuvent inclure des mots de passe et des clés d’encodage.

Dans un article publié sur CNN.com, Chet explique comment deux tiers de tous les sites internet sont vulnérables vis-à-vis de cette faille Heartbleed.

Heureusement, les services internet les plus importants ont déjà remédié à ce bug au niveau de leurs serveurs et services associés. La mauvaise nouvelle est que les sites internet de plus petites tailles, ainsi que les produits d’entreprises utilisant l’OpenSSL, risquent de rester de nombreuses années sans solution.

Chet a déclaré à BuzzFeed, que l’inquiétude majeure portait plutôt sur ceux qui étaient au courant de cette faille, avant tout les autres. La NSA se trouve être l’organisation qui a les moyens, et un intérêt certain à détecter ce genre de vulnérabilité.

« C’est exactement ce que certains programmes de la NSA sont censés faire : trouver la faille, l’exploiter sans jamais rien dire à personne » déclare Chet.

Selon Chet, la partie «open»  d’OpenSSL signifie que ce logiciel, vital pour la sécurité, est entretenu par des programmeurs volontaires, sans but commercial.

Nous devrions donc nous concentrer et aider toutes ces parties « open », dont nous dépendons au sein d’internet, pour conserver notre liberté de communication.

La plupart d’entre nous comptons sur internet d’un point de vue social, politique et économique. Les milliards de dollars générés chaque année par les géants du web n’existeraient tout simplement pas, sans ces millions de volontaires travaillant des heures et des heures pour entretenir ces logiciels gratuits et opens comme Open SSL, Linux, Apache Web server, et Postfix mail server.

Chet, Consultant Sécurité chez Sophos, chat#142 : Heartbleed expliqué, les patches évalués et Apple puni !

Aller plus loin au sujet de heartbleed OpenSSL

Paul Ducklin, anayste senior en sécurité chez Sophos et auteur pour Naked Security, dévoile dans son excellente investigation sur le bug OpenSSL Heartbleed, ses techniques en tant qu’expert en cryptage.

Vous pouvez lire tous ces articles pour plus d’informations concernant cette faille et comment la déjouer :

La minute Sécurité : Heartbleed, GooglePlay et XP

Paul Ducklin parcours l’actualité de la semaine en 1 minute, en incluant un résumé sur Heartbleed, une escroquerie sur Google Play et le dernier patch sécurité de XP.

Rester informé, grâce au blog Sophos France

Vous pouvez obtenir toutes les dernières actualités sécurité sur notre blog, avec nos Podcasts et notre Télé Sophos France : http://www.sophosfranceblog.fr/.

Abonnez-vous à la newsletter en cliquant sur newsletter sécurité et en remplissant le formulaire avec votre email.

Suivez nous sur les réseaux sociaux : Facebook, Twitter, Google+, YouTube, RSS, LinkedIn et Foursquare.

Billet inspiré de : “Sophos news in review: OpenSSL Heartbleed, what is it and what does it mean for security ?” par John Zorabedian de Naked Security.

Partagez “Heartbleed : quel impact sur la sécurité d’Open SSL ?” avec http://bit.ly/1j26Z1g

3 Commentaires

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.