Mettez à jour OpenSSL [Urgent]
Chers amis, l’heure est grave. Un bug vient d’être découvert dans la bibliothèque OpenSSL utilisée pour gérer la couche TLS/DTLS de nombreux logiciels (serveurs web, emails, messagerie instantanée, VPN…etc.). Découverte par une équipe de chercheurs en sécurité de Codenomicon et par un ingénieur en sécurité de Google, cette erreur d’implémentation permet de dérober des informations normalement chiffrées et les clés privées, ce qui je vous l’accorde fait plutôt mal.
Ce bug a un nom : The Heartbleed Bug (Le bug du cœur saignant). Tout un programme !
En l’exploitant, un hacker (et la NSA ?) pourrait tout simplement lire la mémoire du système protégé par OpenSSL et ainsi voler les mots de passe, les clés de chiffrement, toutes les données qui transitent entre votre ordinateur et votre service préféré, et ensuite pouvoir se faire passer de manière transparente pour un service web ou un internaute… Même pas besoin de faire une attaque Man In The Middle et ça ne laisse aucune trace. Un PoC est dispo ici.
Alors, comment savoir si votre service est faillible ? Et bien toutes les versions d’OpenSSL 1.0.1 à 1.0.1f (inclus) SONT VULNÉRABLES.
Maintenant, je comprends pourquoi ça s’appelle “Open” SSL
Les versions 1.0.1g, 1.0.0 et 0.9.8 (ou antérieures) ne le sont pas. Que vous ayez un serveur sous Linux, ou une version Desktop, vous êtes potentiellement vulnérable. Pour connaitre la version d’OpenSSL que vous avez, il suffit d’entrer la commande :
openssl version
Il existe aussi un service en ligne qui permet de tester les services web. Il vous suffit de vous rendre ici et d’entrer le nom d’hôte du serveur à tester pour connaitre le verdict !
Mettez à jour vers la version 1.0.1g ou recompilez les sources d’OpenSSL avec le flag OPENSSL_NO_HEARTBEATS pour contourner le problème.
+ d’infos ici. Et bon courage !
Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).