Heartbleed : encore 300 000 serveurs concernés par la faille de sécurité

Le par  |  3 commentaire(s) Source : The Verge
Heartbleed-bug-logo

Un mois après la découverte d'une faille critique dans le protocole de sécurisation Open SSL, baptisé Heartbleed, il y aurait encore plus de 300 000 serveurs laissés vulnérables sur la toile.

D'après le chercheur en sécurité David Graham, il y aurait encore plus de 300 000 serveurs qui n'auraient pas colmaté la faille Heartbleed pourtant critique pour nombre d'opérations sensibles et le traitement des données des utilisateurs.

Heartbleed-bug Le chercheur est arrivé à ce chiffre en réalisant un scan global d'Internet et a constaté que 1,5 million de serveurs utilisaient toujours Heartbeats, l'extension OpenSSL qui a présenté le bug et qui lance régulièrement des requêtes côté client pour vérifier que la connexion avec le serveur est toujours active. Il a également constaté que 318 239 systèmes restaient vulnérables malgré le fracas ayant suivi la découverte de la faille, la psychose des utilisateurs et une vaste campagne de sensibilisation ainsi que la publication d'outils permettant de résoudre les défaillances de sécurité.

Et il ne s'agit là que de cas confirmé de serveurs présentant la faille, beaucoup ayant certainement échappé au scan de David Graham par des configurations OpenSSL personnalisées ou le blocage de spam.

Le chiffre est surprenant étant donné l'aspect critique de la faille, mais surtout la disponibilité des outils permettant de la combler et leur facilité à être mis en place. De plus, depuis que le bug a été révélé, il devient l'attraction de pirates amateurs ou plus confirmés souhaitant exploiter ce dernier avant qu'il ne disparaisse totalement.

Si beaucoup de grands services comme Google ont mis à jour leurs serveurs presque immédiatement, les structures les plus petites restent la cible d'attaques. Une fois un serveur vulnérable localisé, les pirates peuvent utiliser Heartbleed pour voler des clés privées, récupérer des mots de passe, pirater des sessions d'utilisateurs et accéder à leurs données privées.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1737202
"Le chiffre est surprenant étant donné l'aspect critique de la faille"

bienvenue dans le monde réel
Le #1737222
Le pire avec ce bug, c'est qu'au final un serveur vulnérable est bien moins sécurisé qu'un serveur n'utilisant pas HTTPS. Moralité, le quick fix pour ceux qui sont pas capables de patcher, c'est tout simplement de désactiver le SSL..
Le #1739172
Euh Google à changé ses serveurs ??? Tiens, tiens, tiens... Ils n'avaient pas officiellement annoncé que le bug ne les touchait pas, parce que eux avaient une meilleure implémentation (propriétaire, la leur) du protocole ????
Encore une grosse boîte bien plus forte en communication qu'en informatique... Rotfl...

Euh, il est fondé sur quoi ce chiffre de 300.000 ? Parce que bon, si on sait quels sont les sites vulnérables, alors 1. il faut leur foutre la pression pour qu'ils changent dare dare et 2. s'ils ne régissent pas rapidement, il faut publier la liste pour qu'on évite de s'y connecter, histoire que nos logins/pass ne finissent pas chargés en mémoire et donc ne soient pas récupérables... Voire que 3. on puisse mener des actions en justice contre ces inconscients (Tiens tiens tiens... Orange ne serait pas parmis le lot par hasard ???)

EDIT: je viens de vérifier pour orange, ils ont dû prendre la solution proposée par bugmenot : http://id.orange.fr/auth_user/bin/auth0user.cgi ... L'authentification ne passe même pas par https !!!!! Et après on va s'étonner qu'ils se fassent pomper leur liste de client tous les mois et que la NSA soit leur grand ami...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]