Heartbleed est toujours vivace et ça fait peur

Le par  |  1 commentaire(s)
Heartbleed-bug-logo

Plus de deux mois après sa découverte, plus de 300 000 serveurs sont encore concernés par la grosse faille dans OpenSSL. Un même constat qu'il y a un mois.

Affectant OpenSSL, le bug Heartbleed est le gros bug qui fait peur et cela ne tient pas uniquement à sa qualification de " cœur qui saigne ". Ce bug est situé au niveau de l'extension heartbeat de TLS qui permet de s'assurer qu'une session est active, à savoir si un client et un serveur HTTPS sont toujours connectés pour des communications sécurisées.

peurAvec une requête heartbeat malveillante adressée à un serveur exécutant une version vulnérable d'OpenSSL, un attaquant peut récupérer une réponse de 64 ko de données de mémoire pouvant contenir des données non chiffrées. Notamment, des mots de passe voire des clés de chiffrement.

La correction de Heartbleed est en place dans des versions d'OpenSSL mais… À la divulgation de la vulnérabilité, la société de sécurité Errata Security a opéré une analyse du trafic IP sur le port 443 utilisé par les serveurs HTTPS. Le constat était alors que 615 268 étaient vulnérables à Heartbleed.

Un mois après ce premier scan, 318 239 systèmes étaient encore vulnérables et donc une réduction de près de moitié. Un peu plus de deux après, Errata Security observe que 309 197 serveurs sont toujours vulnérables.

Il y a donc une forme de stagnation. Si l'on peut considérer que tous les sites populaires ne sont plus vulnérables, le danger Heartbleed demeure d'actualité pour des sites de moindre ampleur qui rechignent à appliquer le correctif.

C'est plutôt inquiétant car Heartbleed a eu droit à une très grosse médiatisation. On peut alors se demander si ces petits sites vont un jour ou l'autre passer à la correction.

L'utilisateur doit faire preuve de prudence. Un outil en ligne comme celui-ci permet de savoir en saisissant une URL si un serveur est vulnérable ou non à Heartbleed. Par ailleurs, le conseil de sécurité consistant à utiliser des identifiants différents pour chaque service est à respecter.

Il serait dommage que des identifiants utilisés pour des sites " annexes " donnent accès à des comptes de première importance.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1783552
L'explication pour ces 17% restants est très simple, soit il ne décide pas d'installer les patch, soit il ne font pas confiance à ces dispositifs de correction, soit ils utilisent des outils d'immunisation contre le bug heartbleed comme Lastpass. Mais quoi qu'il en soit, c'est leur choix
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]