Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Mettez à jour OpenSSL [Urgent]

Chers amis, l’heure est grave. Un bug vient d’être découvert dans la bibliothèque OpenSSL utilisée pour gérer la couche TLS/DTLS de nombreux logiciels (serveurs web, emails, messagerie instantanée, VPN…etc.). Découverte par une équipe de chercheurs en sécurité de Codenomicon et par un ingénieur en sécurité de Google, cette erreur d’implémentation permet de dérober des informations normalement chiffrées et les clés privées, ce qui je vous l’accorde fait plutôt mal.

Ce bug a un nom :  The Heartbleed Bug (Le bug du cœur saignant). Tout un programme !

En l’exploitant, un hacker (et la NSA ?) pourrait tout simplement lire la mémoire du système protégé par OpenSSL et ainsi voler les mots de passe, les clés de chiffrement, toutes les données qui transitent entre votre ordinateur et votre service préféré, et ensuite pouvoir se faire passer de manière transparente pour un service web ou un internaute… Même pas besoin de faire une attaque Man In The Middle et ça ne laisse aucune trace. Un PoC est dispo ici.

Alors, comment savoir si votre service est faillible ? Et bien toutes les versions d’OpenSSL 1.0.1 à 1.0.1f (inclus) SONT VULNÉRABLES.

joke

Maintenant, je comprends pourquoi ça s’appelle « Open » SSL

Les versions 1.0.1g, 1.0.0 et 0.9.8 (ou antérieures) ne le sont pas. Que vous ayez un serveur sous Linux, ou une version Desktop, vous êtes potentiellement vulnérable. Pour connaitre la version d’OpenSSL que vous avez, il suffit d’entrer la commande :

openssl version

Il existe aussi un service en ligne qui permet de tester les services web. Il vous suffit de vous rendre ici et d’entrer le nom d’hôte du serveur à tester pour connaitre le verdict !

korben

Mettez à jour vers la version 1.0.1g ou recompilez les sources d’OpenSSL avec le flag OPENSSL_NO_HEARTBEATS pour contourner le problème.

+ d’infos ici. Et bon courage !

Que faire après le bac quand on est passionné de cybersécurité ?

Entièrement dédiée à la cybersécurité, l’école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l’école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus

Lien sponsorisé


Concevez des interfaces adaptatives comme un pro grâce aux CSS Grid Layout de Penpot

Vous en avez assez de galérer avec le positionnement de vos éléments et la création de designs responsives ?

Découvrez comment les CSS Grid Layout de Penpot révolutionnent la conception d’interfaces. Grâce à cet outil intuitif, créez facilement des mises en page complexes et adaptatives en quelques clics.

Définissez vos grilles, placez vos composants et laissez Penpot générer le code CSS pour vous.

Votre productivité va exploser !

🚀 Cliquez ici pour vous lancer avec les CSS Grid Layout sur Penpot ! 🎨

Publicité native

Les articles du moment