Bug Heartbleed : un demi-million de sites affectés. Faites le test

Le par  |  3 commentaire(s)
Heartbleed-bug-logo

Le bug de sécurité Heartbleed débusqué dans la bibliothèque de chiffrement OpenSSL a touché près de 17 % des serveurs Web sécurisés, soit un demi-million de sites. Des outils permettent de savoir si un site est vulnérable.

Même s'il est marqué par la fin du support de Windows XP, ce n'est pas le Patch Tuesday de Microsoft qui occupe le plus les esprits en matière de sécurité informatique mais le bug baptisé Heartbleed.

Heartbleed-bugMis au jour par Codenomicon et un chercheur de Google Security, ce gros bug touche certaines versions de la bibliothèque de chiffrement OpenSSL au niveau de l'implémentation du protocole TLS pour la sécurisation des échanges. Plus exactement, c'est au niveau de l'intégration de l'extension heartbeat de TLS qui  permet de s'assurer qu'une session est toujours active.

Pour ce bug théoriquement présent depuis au moins deux ans à la suite d'un ajout dans OpenSSL 1.0.1 (a-t-il été exploité pendant ce laps de temps ?), Netcraft estime que près de 17 % des serveurs Web sécurisés ont été affectés, soit un demi-million de sites touchés.

Parmi les sites populaires concernés ou qui l'ont été jusqu'à récemment, Netcraft cite notamment Yahoo, Tumblr, Twitter, Dropbox, Steam ou encore le moteur de recherche DuckDuckGo. Annoncé lundi, un patch pour OpenSSL 1.0.1g permet de corriger le bug mais son déploiement peut mettre du temps.

Cette affaire est marquée par un imbroglio dans la mesure où certains ont pu déployer le patch rapidement tandis que d'autres n'ont pas eu le temps avant une divulgation publique. Pour le moment, il est difficile d'y voir clair sur les conséquences du bug. Dans de pareils cas, les discours ont souvent tendance à être très alarmistes.

Quelques chercheurs en sécurité affirment toutefois avoir pu mettre la main sur des mots de passe d'utilisateurs de Yahoo qui vient de déployer le patch. Dans les prochains jours, des notifications de réinitialisation de mots de passe pour les utilisateurs ne sont alors pas à exclure.

S'il n'est pas exhaustif, un outil en ligne créé par Filippo Valsorda permet à un utilisateur de savoir si des sites Web sont actuellement vulnérables à la faille dans OpenSSL. Le temps que la situation revienne au calme, cela vaut le coup d'œil avant de saisir des identifiants dans un site :

Heartbleed-test-1
Un outil similaire pour tester des serveurs HTTPS est également disponible ici :

Heartbleed-test-2
En plus d'appliquer le patch, les administrateurs de serveurs vont devoir révoquer des clés de chiffrement pour en générer de nouvelles. Il existe en effet le risque que des attaquants ont pu en voler.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1711552
Bah, pas étonnant que de nombreux sites soient encore affectés, le patch prétend redémarrer les services affectés, mais... il oublie Apache !
Le #1711742
On avait passé notre site en sécurisé (https).

Et puis on est revenu en normal ...

Pourquoi ?
Car les nouvelles versions des navigateurs bloquaient tout ce qui n'était pas sécurisé (donc les régies publicitaires).

Dommage.
Le #1711922
FRANCKYIV a écrit :

On avait passé notre site en sécurisé (https).

Et puis on est revenu en normal ...

Pourquoi ?
Car les nouvelles versions des navigateurs bloquaient tout ce qui n'était pas sécurisé (donc les régies publicitaires).

Dommage.


Les bonnes régies sont dispo en version sécurisée...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]