Heartbleed : plus grosse faille de sécurité web de la décennie

Inscrit le 20/11/2004
2388 messages publiés
Envoyer un message privé
Sabinou , sujet ouvert le 08/04/2014 à 17:50
Une faille a été découverte dans la version la plus couramment utilisée, et plus récente, de openssl, utilisée par la grande majorité des serveurs web Apache / NginX, version qui était "en prod" depuis deux ans.

Elle permet de copier à distance le contenu de la mémoire vive du serveur, et donc de la totalité des mots de passe et des certificats de sécurité.
Sans laisser la moindre trace de l'intrusion.

Source, par exemple : http://heartbleed.com/

La faille a été découverte hier, et progressivement les distributeurs linux ont poussé une MAJ qui corrige ce bug.

Mais bon, pour l'instant, nombre de sites (via façade web ou serveur mail, par ex) sont encore exposés. Récemment, mail.yahoo.com l'était encore par exemple, il suffisait de lancer un petit script, de choper la RAM, et de copier les combos de login-passwords des utilisateurs connectés pour lire leurs mails.)

Et même si vous avez installé les mises à jour requises, tant que vous ne changez pas de clés de sécurité et de mots de passe, vous restez vulnérables.
(Pour les vendeurs de certificats, qui vont couramment vous demander 25$ pour la révocation d'un certificat et l'émission d'un nouveau, je vous dis pas la fête du slip que ça doit être.)

Vous ne croyez pas que ça mérite un petit billet sur Numerama ?

(Et, simple anecdote, il n'y a même pas de fonction "rechercher" sur les forums de Numerama ? WTF ?!?)
19 réponses
-->
Inscrit le 07/04/2014
53 messages publiés
Envoyer un message privé
Terrifiant!

Le code "open source" fait encore parler de lui, en mal.

Il faut dire que certains logiciels Open Source sont considérés à juste titre comme illisibles.
Inscrit le 03/10/2011
9233 messages publiés
Envoyer un message privé
Mais si : google.fr "site:numerama.com what are you looking for?"
Inscrit le 07/04/2014
53 messages publiés
Envoyer un message privé
Google is evil!

C'est Numerama qui le dit!
Inscrit le 04/06/2010
6584 messages publiés
Envoyer un message privé
id30, le 08/04/2014 - 22:10
Terrifiant!

Le code "open source" fait encore parler de lui, en mal.

Il faut dire que certains logiciels Open Source sont considérés à juste titre comme illisibles.

sans déconner la reflexion stupide ...
- les gens qui codent le propriétaire et l'open sont les mêmes ... expliquent moi pourquoi ils deviendraient mauvais en écrivant de l'open ...
- la totalité des logiciels sources proprio sont illisibles puisque par définition ils sont proprio et donc on peut pas les lire ...
- ce qui est terrifiant c'est que quand cette chose arrive dans du proprio, je te raconte pas le temps qu'il faut pour que tu le saches...
Inscrit le 07/04/2014
53 messages publiés
Envoyer un message privé
marinebis, le 09/04/2014 - 00:06

id30, le 08/04/2014 - 22:10
Terrifiant!

Le code "open source" fait encore parler de lui, en mal.

Il faut dire que certains logiciels Open Source sont considérés à juste titre comme illisibles.


sans déconner la reflexion stupide ...
- les gens qui codent le propriétaire et l'open sont les mêmes ... expliquent moi pourquoi ils deviendraient mauvais en écrivant de l'open ...
- la totalité des logiciels sources proprio sont illisibles puisque par définition ils sont proprio et donc on peut pas les lire ...
- ce qui est terrifiant c'est que quand cette chose arrive dans du proprio, je te raconte pas le temps qu'il faut pour que tu le saches...

Les sources des logiciels proprio sont peut être très lisibles, tu n'en sais rien. TU ne peux pas les lire, mais elles sont peut être très lisibles par ceux qui sont chargés de les relire.
"je te raconte pas le temps qu'il faut pour que tu le saches" => le temps entre quoi et quoi?
Inscrit le 04/06/2010
6584 messages publiés
Envoyer un message privé
id30, le 09/04/2014 - 00:53

Les sources des logiciels proprio sont peut être très lisibles, tu n'en sais rien. TU ne peux pas les lire, mais elles sont peut être très lisibles par ceux qui sont chargés de les relire.


et donc JE n'en sais rien mais toi TU en sais quelque chose et TU peux faire une comparaison ?
ya rien que te choque ?
Inscrit le 09/04/2014
3 messages publiés
Envoyer un message privé
id30, le 08/04/2014 - 22:10
Terrifiant!

Le code "open source" fait encore parler de lui, en mal.

Il faut dire que certains logiciels Open Source sont considérés à juste titre comme illisibles.

Quelle ignorance !
Openssl doit etre vu comme un outil, il est d'ailleurs intégré dans beaucoup de produits non-libre qui, de fait, souffrent également de cette vulnérabilité.
Le code propriétaire n'est pas exempt de bug non plus. De nombreux logiciels, très cher et trèc fermé, ont souffert par le passé de failles largement comparables à celle-ci.
Le code issu du libre a néanmoins l'avantage de pouvoir etre testé et vérifié par un panel beaucoup plus grand d'informaticiens. La recherche de bug et vulnérabilités y est souvent encouragé, et le failles corrigées dans la journée. On est ici bien loin des hotfix à plus de 7 jours des grands éditeurs ou intégrateurs !!!!
Bref, la liberté du code n'est ici pas à mettre en cause.
Inscrit le 09/04/2014
3 messages publiés
Envoyer un message privé
Dernier point : Numérama a trouvé une bonne solution paliative à la faille : il ne logue pas ses utilisateurs en HTTPS
Vos mots de passes circulent donc en clair sur le réseau. Bien vu !
Inscrit le 10/07/2008
4585 messages publiés
Envoyer un message privé
La NSA a du se gaver.
Inscrit le 13/11/2008
117 messages publiés
Envoyer un message privé
Cette faille (présente depuis 2 ans !!!) est super grave et devrait faire l'objet d'un article de Numérama, même si il doit être complété plus tard.

En attendant Pcinpact(Nextinpact) en parle avec en plus quelques commentaires pointus très informatifs ...

Si vous voulez tester un serveur -> http://filippo.io/Heartbleed


Ajout : Il y a de plus en plus de sites qui proposent de tester les serveurs ; méfiez-vous car certains pourraient se constituer une liste de serveurs vulnérables ...


Ajout 2 : c'est fait Numérama vient de réagir
[message édité par Doc Justice le 09/04/2014 à 12:37 ]
Inscrit le 07/04/2014
53 messages publiés
Envoyer un message privé
insurge, le 09/04/2014 - 07:50
Openssl doit etre vu comme un outil, il est d'ailleurs intégré dans beaucoup de produits non-libre qui, de fait, souffrent également de cette vulnérabilité.
Le code propriétaire n'est pas exempt de bug non plus. De nombreux logiciels, très cher et trèc fermé, ont souffert par le passé de failles largement comparables à celle-ci.
Le code issu du libre a néanmoins l'avantage de pouvoir etre testé et vérifié par un panel beaucoup plus grand d'informaticiens. La recherche de bug et vulnérabilités y est souvent encouragé, et le failles corrigées dans la journée. On est ici bien loin des hotfix à plus de 7 jours des grands éditeurs ou intégrateurs !!!!
Bref, la liberté du code n'est ici pas à mettre en cause.

Le code non libre est au moins aussi pourri que le code libre, et donc ... c'est censé être rassurant?
Le code non libre peut AUSSI être testé en black box. 
Avec ton message navrant, tu as montré que tu n'attendais RIEN du logiciel libre.
Inscrit le 07/04/2014
53 messages publiés
Envoyer un message privé
insurge, le 09/04/2014 - 07:54
Dernier point : Numérama a trouvé une bonne solution paliative à la faille : il ne logue pas ses utilisateurs en HTTPS
Vos mots de passes circulent donc en clair sur le réseau. Bien vu !

Numerama : toujours une longueur d'avance!
Inscrit le 04/06/2010
6584 messages publiés
Envoyer un message privé
id30, le 09/04/2014 - 14:58

Le code non libre est au moins aussi pourri que le code libre, et donc ... c'est censé être rassurant?
Le code non libre peut AUSSI être testé en black box. 
Avec ton message navrant, tu as montré que tu n'attendais RIEN du logiciel libre.

à qualité égale donc (et c'est ce que je dis dans mon 1er message), l'un a au moins l'avantage d'être libre.
mais c'est bien tu finis par te rendre compte toi-même de l'idiotie de ton intervention initiale.
Inscrit le 09/04/2014
3 messages publiés
Envoyer un message privé
id30, le 09/04/2014 - 14:58

Le code non libre est au moins aussi pourri que le code libre, et donc ... c'est censé être rassurant?
Le code non libre peut AUSSI être testé en black box. 
Avec ton message navrant, tu as montré que tu n'attendais RIEN du logiciel libre.

Non, j'avance simplement le fait que le code libre et non-libre est fait par des hommes, donc potentiellement soumis à des erreurs humaines (voire malicieuses, mais le sujet du jour n'est pas là). Quand bien même les logicielles peuvent être codé avec méthodes sensées éviter ce type d'erreur, il n'en reste pas moins qu'il ne faut pas poser tout une sécurité sur une technologie unique...libre ou non
La sécurité par offuscation ne mène à rien, et n'apporte aucune plus-value. Ensuite, pour en avoir fait mon métier, je peux te certifier que le troubleshooting sur blackbox (voir Reversing) et sur code libre est loin d'être identique....et que le code libre n'a rien n'a envier à du bon soft fermé et très cher, et ce en terme de compétence des développeurs, de la réactivité et du suivi de ce type de problème
Ici les personnes vulnérables étaient celles:
- Qui avait une super-version-super-récente de openssl, alors que beaucoup de distrib taguées "stable" tournent encore 0.9.8x
- n'avait aucun autre équipement permettant de mitiger une vulnérabilité sur un système
- ne tiennent pas leur système à jour. La faille é été corrigée dans la 1/2 journée sur les systèmes libres vulnérables.
Mais oui, la faille est grossière, juteuse, abordable et fonctionne à 100% de manière quasi-indétectable sur les systèmes vulnérables. C'est effectivement une bien triste publicité pour le libre...et je comprends qu'elle réjouisse les amnésiques et fanboys en tout genre de marques ou produits concurrents. Je ne supporte pas outre-mesure openssl, mais il a contribué à apporter la sécurité pour tous, basée sur des standards.
Mais oui, ca arrive. A tous.
Inscrit le 16/10/2011
2490 messages publiés
Envoyer un message privé
Tiens, ingénieur ?

Toujours aussi [idiot]
[message édité par flow le 11/04/2014 à 21:23 ]
Inscrit le 14/07/2004
8040 messages publiés
Envoyer un message privé

Un conseil calmes toi , la discussion n'en sera que plus instructive.


Et on n'aura pas à la fermer.
[message édité par flow le 11/04/2014 à 21:30 ]
Inscrit le 09/02/2009
1190 messages publiés
Envoyer un message privé
id30, le 10/04/2014 - 17:22

marinebis, le 10/04/2014 - 01:34

à qualité égale donc (et c'est ce que je dis dans mon 1er message), l'un a au moins l'avantage d'être libre.
mais c'est bien tu finis par te rendre compte toi-même de l'idiotie de ton intervention initiale.


Tu es et tu restes une .... .

Flow: Pas la peine d'être grossier.

Malheureusement la moderation est passé , tu ne vois pas d'arguments et c'est bien normal quand on lit tes réactions. Tu n'apportes rien et tu n'argumentes pas donc personne ne vas tenter la moindre discussion ici avec toi.
Tu piges ?
Plus simplement c'est parceque ton comportement est merdique que tes interlocuteurs estiment ne pas avoir a argumenter avec toi , c'est bon ?
Ne cherches plus d'arguments dans cette discussion , plus personne ne veut discuter avec toi. Dommage le sujet est interressant.
Inscrit le 09/02/2009
1190 messages publiés
Envoyer un message privé
Comme proposé plus haut je te defie de venir me dire ca en face , malheuresement comme tu n as rien dans le slibard tu vas rester comme la chochotte que tu es a insultés tes tes interlocuteurs. 
Me faire traiter de petit con par une baltringue qui se cache derriere son ecran ,  je prendrais presque ca pour un compliment. 

Si tu avais un petit peu d'honneur tu aurais au moins proposé de venir m expliquer en quoi tu justifies tes propos , auquel cas je me ferais un plaisir de t apprendre la politesse....mais vu que tu n as absolument rien dans la tete et rien entre les jambes tu ne seras rien d autres qu une petite merde des forum qui brillerat par son bannissement. 


Ps : oui oui petite merde est une insulte qui te qualifie parfaitement , tu es une petite merde sur ce forum et je me ferais un plaisir de le faire comprendre lors d une mise de gants. 
Inscrit le 16/10/2011
2490 messages publiés
Envoyer un message privé
HAHAHA Hahaha, haha ha.
C'est la fin de la récréation les enfants, tenez vous par la main et écoutez la maîtresse.
[message édité par liolfil le 22/04/2014 à 21:05 ]
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux

Téléphones mobiles

prix indicatifs sujets à variation