Heartbleed, c’est quoi ?
La faille qui touche le protocole OpenSSL nommée CVE-2014-0160 serait présente depuis environ 2 ans. Des chercheurs viennent de découvrir ce bug qui permet à des personnes mal intentionnées de subtiliser les données personnels des connexions utilisant OpenSSL et donc les protocoles SSL et TLS. C’est notamment le cas du HTTPS qui permet de se connecter aux sites sensibles comme les réseaux sociaux, les webmails ou encore les sites bancaires. Mais d’autres utilisations sont faites du OpenSSL comme les applications de client mail ou encore les serveurs hébergeant les sites web. Dans ce dernier cas, ce sont surtout les professionnels qui sont touchés lors de la transmission des données entres les serveurs Web. OpenSSL est implanté dans certaines distributions de Linux ainsi que sur Mac OS.
Android est-il touché ?
Android étant basé sur Linux, il est potentiellement vulnérable à cette faille. Et la version d’OpenSSL actuellement disponible sur Android, la 1.0.1f, est vulnérable. La faille touche toutes les versions d’OpenSSL de la 1.0.1 à la 1.0.1f. La version 1.0.1g sortie le 7 avril a permis de supprimer le bug. Mais pour être déployée sur Android, il faudra une mise à jour de la ROM du téléphone. Il ne reste plus qu’à espérer que les constructeurs jouent le jeu mais on peut craindre que certains téléphones anciens ne soient pas mis à jour et restent alors vulnérables.
Comment se prémunir de la faille ?
Si votre terminal, votre ordinateur et même le serveur se lequel vous vous connectez dispose de l’ancienne version d’OpenSSL, il y a un risque. Dans le cas de votre androphone, certains, dont des éditeurs d’antivirus, ont créé des applications dédiées pour vérifier la version d’OpenSSL sur votre terminal. C’est le cas par exemple de Heartbleed Detector. Toutefois, si votre terminal est dans la faille, tout dépendra de la promptitude des constructeurs ou opérateurs à délivrer un correctif.
En ce qui concerne les sites internet et leurs serveurs, il est possible de les checker avant de vous connecter. Une liste des sites vulnérables existe sur Github. Il est d’ailleurs possible de tester les serveurs des sites Internet.
La révélation de Heartbleed aux yeux du monde est une bonne chose car elle permet à tous et à toutes de connaître les risques et d’inciter les différents acteurs à agir en conséquence. La faille a une solution, grâce à sa mise à jour. Si un site sur lequel vous avez l’habitude de vous connecter est concerné par la faille, attendez quelques jours le temps que le site fasse le nécessaire.
Co-rédacteurs : Vincent & Léo
Des invités passionnants et des sujets palpitants ! Notre émission UNLOCK est à retrouver un jeudi sur deux en direct, de 17 à 19h sur Twitch. Pensez aussi aux rediffusions sur YouTube !
Je suppose que android 4.4.4 est déjà immunisé contre heartbleed, sinon, il faut toujours installer Lastpass pour se prémunir contre cupidon.
[…] Voila une nouvelle qui va faire sourire les malheureux qui n’ont pas encore réussi à se procurer une invitation OnePlus One. Ceux qui en possèdent vont effectivement devoir faire preuve de patience puisque la firme a confirmé que le smartphones seraient délivrés avec un peu de retard. La raison, c’est qu’une faille Open SSL a été découverte le 5 juin dernier, et que les équipes de Cyanogenmod ont décidé de retarder les expéditions afin de pouvoir effectuer une mise à jour logicielle. Une prudence qui n’est pas exagérée, surtout après l’épisode HeartBleed. […]
Que tu dit mais elle existe (depuis 20ans au moins voir domaine animalier et surtout les chevaux les premier a en avoir eu dans la jugulaire et je sais de quoi je parle) sauf que pour l'instant elle s'implente dans le bras sous la peau volontairement par certain client aisé. Mais qui te dit que le jour ou tu va te faire vacciné ou autre injection ont t'en met(tra) pas une? qd on vois l'avancé des technologie et spécialement celle permettant le control (de qlq chose/ qlq1) et des nano technologie je serai toi je me mefirais un peu plus (sans pour autant devenir parano) a bon entendeur... et n'oublie pas 'juste pour la petite histoire que la S.F est souvent précurseur de certain comportement et technologie (j'ai presque 40ans des bouquin etc j'en ai lu un paquet et certains predisaient deja certaines chose. mais bien sur TU a raison Bouffon
oui oui, c'est fini, redescend.. tu as dis une bêtise, point :)
Tu le fais exprès... Brésil 2044 c'est une figure de style pour souligner que je cherche pas à me baser sur une autre position géographique, sur le passé ou sur le futur. Ça a aucun rapport avec le fait de s'informer, tu fais juste une pauvre tentative pour me faire passer pour un idiot et toi pour un érudit mais encore une fois t'es à côté de la plaque. A aucun moment j'ai dit une connerie, c'est toi qui vient faire le chieur alors que c'est juste évident que quand je rédige un commentaire je le rédige vis-à-vis de l'instant t où je l'écris (encore plus si j'utilise le présent). C'est rudimentaire mais tu fais semblant de pas comprendre, et c'est pas tes smileys qui vont cacher cette attitude ridicule.
:) c'est bien, t'as l'air gentil et poli comme personne. libre à toi de pas accepter avoir dit une connerie, libre à moi de juger que c'en est une grosse. aller, useless de parler avec un type dans ton genre! PS: ça prouve bien à quel point t'es informé de ce qui se passe, pas besoin d'être au Bresil en 2044 pour avoir des Syriens, Lybiens (grâce à des trucs vendus par des boîtes Française, comme c'est drôle..) et plein autres s'en prendre plein la tronche. mais toi ça te passe bien au dessus, visiblement :)
Mais bien sûr que je parle de la France guignol, j'habite en France. J'habite pas en 2044 au Brésil j'habite en 2014 en France putain. Je vois pas où tu te perds là dedans, je poste un commentaire par rapport à la situation. A aucun moment j'ai la prétention d'être omniscient dans le temps et l'espace. "Objectivement ça a ZERO conséquence sur votre vie". Et oui c'est du présent de l'indicatif, j'espère que tu sais ce que c'est. Si tu veux te terroriser pour des trucs qui n'existe que dans le futur de ton imagination libre à toi, mais me fais pas croire que j'ai dis une connerie.
le type quoi.. oO tu veux des arguments, je t'en donne: ailleurs dans le monde, des mecs se font enlever et torturer pour des infos balancées sur le net. toi ça ne t'arrive pas, car tu es en France. le jour où la situation changera en France, que tout ce que tu as dis/dis, as fais/fais sera monitoré et retournable, là ça te concernera peut-être. et toi, tes arguments? où qu'ils sont, à part essayer de (c'est le cas de le dire) me faire passer pour un con?
Non pas du tout. Par contre toi t'es une sacrée tête de con.
Ton père et ta mère sont frère et soeur ? Non parce que là je vois pas d'autre solutions. Tu envoies des poncifs sans rien apporter à la conversation, et après tu me dis que j'apporte aucun argument et d'aller me coucher ? T'as déjà parlé à quelqu'un ? Tu sais comment ça marche une conversation ? T'es capable de suivre un fil ? A moins que ce soit la vilaine NSA qui brouille ton cerveau.
Ouais voilà, tu t'es rendu compte que ce que tu disais depuis le début était idiot alors tu déplaces le sujet sur ds suppositions sur le futur. T'as du mal à comprendre le principe d'un commentaire. Je réponds à UN truc, je fais pas une dissertation ou une conférence. J'ai jamais dit qu'on serait en sécurité toute nos vies ou que y aurait jamais d'autres failles. Mais tu viens faire comme si c'était le cas juste pour me faire passer pour un con et essayer de sauver ta face. C'est ridicule.
"qu'est ce qui les empêcherait de te manipuler sans même que tu t'en rendes compte ?" Cette phrase n'a aucun sens. On dirait un ado en manque de science fiction qui s'invente un scénario. Ca existe pas les puces dans le cerveau mon grand hein.
http://blog.cryptographyengineering.com/2014/04/attack-of-week-openssl-heartbleed.html le bug est juste dû à une non-évaluation du payload contenu dans un message HeartBeat ( https://tools.ietf.org/html/rfc6520#section-4 ). l'article explique ça mieux que là. après pour te dire comment ils arrivent à récupérer les cookies, là.. ;)
t'as l'air bien au courant que les propos échangés par certaines personnes (activistes, ou autre) ne sont pas utilisés contre eux par les gouvernements, suite à un monitoring des données échangées par ces derniers. tu vis en France, et t'as l'air bien sûr que tu ne seras jamais inquiété par ce que tu échanges sur le net. c'est bien d'avoir des certitudes, c'est bien de douter également parfois. "parfois" s'applique très bien à ce genre de truc. autant là c'est sur SSL, autant dans 3 mois ce sera sur quoi? t'en sais rien, j'en sais rien. tu préfères te dire que ça t'impactera pas, moi je préfère me dire qu'il y a un risque. dire que nous n'avons pas d'arguments alors que tu te contentes de balancer ça sans rien de concret derrière, bah.. laisse tes yeux fermés, ça a l'air de mieux valoir ;)
Si nous sommes paranos, eux sont inconscients.
Encore une fois, il ne s'agit pas de paranoïa mais de vigilance.
récolté des informations personnelles ça a zero conséquence sur ta vie ? Si on connait tout sur toi, ta vie, tes intérêts, tes secrets, ton histoire, qu'est ce qui les empêcherait de te manipuler sans même que tu t'en rendes compte ? à l'échelle d'un homme c'est dommageable, mais à l'échelle d'une société ou d'un ensemble de population c'est vraiment très grave.
Malheureusement il faut pour certain changé de manière physique les infrastructure. Et il faut changer les mots de passe obligatoirement, car ils ont tous comblé la faille mais pas renouvelé les certificats ce qui veut dire que s'ils ont accès à vos données tant que les mots de passe n'ont pas été changé. Mais c'est un cycle sans fin ils ont sûrement d'autres failles cachés en stock.
Bon bah je me suis trompé, en plus de 2 ans la NSA et les services britannique qui étaient au courant ont fait le plein d'informations. Il faut changer tous les mots de passe des grands services. ( et encore, c'est pas sur qu'il n'y ai pas d'autres failles cachées )
En même temps, un service d'espionnage est censé faire son taff à l'insu de ceux qui sont espionnés, enfin c'est tout bonnement logique mais vu qu'ici certains ont du mal avec la logique... Ensuite arrêtez de rapprocher la NSA aux dictatures du passé, y a aucun rapport, j'préfère encore me faire espionner par ceux qui vont se rendre compte que je ne suis pas un danger pour eux plutôt que par des hacker qui vont me pomper tout mon fric sur mon compte pour financer les terroristes. Après oui les paranos vont dire que la NSA finance le terrorisme sinon ils n'auront plus aucune raison d'exister ? Non mais arrêtez le délire, du moment qu'on est atteint de paranoïa on ne devrait même pas être autorisé à s'exprimer pour foutre la merde, c'est tout ce que vous savez faire. "La paranoïa est un trouble mental manifesté par des difficultés relationnelles, des troubles du comportement et un sentiment de persécution pouvant aller jusqu'à un point d'irrationalité et de délire" - Wikipédia
[…] Heartbleed : la faille d'OpenSSL, child problèmе, ses solutions Mais d'autres utilisations sont faites du OpenSSL comme les applications de client e-mail ou encore les serveurs hébergeant les sites mess. Dans ce dernier cas, ce sont surtout les professionnels qui sont іn tearsés lors de la transmission des données entres … Look іntο extra οn Frandroid […]
Heartbleed concerne *aussi* les clients OpenSSL... (il devient alors possible de récupérer des données dans la RAM du client)
Bien au contraire, l'Histoire montre jusqu'où peuvent aller les êtres humains. Et comme je m'y attendais, tu n'apportes aucun argument. Va te coucher, troll de mes deux.
C'est pas des arguments. Dire "Ô attention, l'Histoire !" c'est pas un argument, c'est juste balancer du vide. T'as rien de concret.
A aucun moment quand on rédige un commentaire on s'engage à répondre à l’entièreté du truc. Je réponds juste vis-à-vis d'un passage, j'ai jamais dis le contraire, et c'est aucunement critiquable. Je me sens con à te l'expliquer tellement c'est évident.
Je parlais de ta réaction sur le compte en banque. Que selon toi, tout le reste n'aurait pas d'importance (si, si, t'as un cerveau, je n'ai jamais dit le contraire). Sans vouloir t'offenser, c'est la réaction typique de quelqu'un ayant toujours vécu dans un pays "démocratique" capitaliste en paix sur son territoire et dont l'économie ne va pas trop mal. Ce n'est pas parce que tu n'as connu que ça que ce sera forcément éternel, et si tu penses que rien ne peut arriver, il va falloir à ton tour apporter des arguments parce que moi j'ai un gros dossier pour étayer mes propos, il s'appelle "l'Histoire" (et même le Présent dans pas mal de contrées du globe), même si j'ai jamais été très bon dans cette matière. Car que sont ces 60 dernières années à côté de l'Histoire de l'humanité ? Une paille. Je pense que c'est un gros coup de bol que nous soyons nés à cette période et à cet endroit. Ça te va, ces arguments ?
lol, le mec qui fout la merde juste parce qu'il s'est concentré sur un exemple dans un pavé complet.. tu devrais juste reconnaître que ta phrase, pensée ou non, justifiée par le message du dessus ou non, est stupide. point. t'as l'air d'avoir conscience que ce ne sont pas les seuls à pouvoir s'en servir, et que ça pourrait avoir bien plus d'impact que la CIA qui sait que tu achètes ta baguette. alors pourquoi essayer de nous faire passer pour des abrutis en nous disant qu'on a aucun argument? à moins que tu sois là pour troller, et là bah..
Encore aucun argument. Juste des poncifs à la con, la stupidité, la dictature. Tu m'as tout l'air d'un gars qui recrache ce qu'il a entendu sans réfléchir lui même sur ce qui le concerne. Et après c'est moi qui ait pas de cerveau.
Je confirme : ta réaction était vraiment très stupide.
Merci. News débile, alarmiste, inutile et honteuse.
Je vois pas d'arguments dans vos messages. Vous êtes juste formatés à critiquer tout ce qu'on vous présente comme les grands méchants, alors qu'objectivement ça a ZERO conséquences sur votre vie. Et Ayskah t'es totalement à côté de la plaque. J'ai jamais dis que c'était le seuil. J'ai appuyé sur le bouton "répondre" pour répondre à ce qui était contenu dans le message du dessus, c'est pas dur à comprendre. A aucun moment j'introduis la notion de seul et d'unique.
"faille du protocole OpenSSL" OpenSSL est une implémentation du protocole SSL. "Android étant basé sur Linux, il est potentiellement vulnérable à cette faille" OpenSSL ne fait pas partie du noyau Linux... (il marche d'ailleurs au moins aussi sur Windows)
Bon j'ai checké tous les sites que j'utilise en https, aucun problème. Même mon site en https n'est pas touché.
T'inquiete, je pense juste qu'il fait l'amalgamme entre les serveurs touchés qui utilisent OpenSSL et OpenSSL utilisé dans les applis indépendantes. Mais par contre, la faille techniquement c'est quoi ? Ils choppent des chunks des clés en RAM ? Le mapping de la RAM est pas sensé être cloisonné d'un processus à l'autre ? Si t'as des infos ça m'intéresse. ;)
Voila, le gros problème est là : tout le bordel généré par cette implique un changement des certificats serveurs (je répète, SERVEUR) et des mots de passes. En bref rien à voir avec nos smartphones.
Steth0 les gens comme toi me répugne
"non mais allo quoi": déjà, tu t'fais du mal en disant ça. "qui fait tourner des services SSL sur son smartphone?": tu as l'air omniscient, c'est cool. tu me dis comment tu fais? bref, j'vois pas où j'ai dis de la merde (et encore moins qu'il était vulnérable sur son tel perso), je voulais juste expliquer le fonctionnement basique du process. si ça te dérange tant que ça.. tout ce que je vois qui pourrait t'avoir fait pensé ça, c'est "attendre une MAJ côté dev/indé [...]". ça te gêne de combler des failles, mais si elles ne sont pas forcément exploitables? "allo quoi?"
Non pas besoin d'être sur un Wifi publique ou de snifer le réseau. La faille touche les serveurs ayant Open-SSL, cela suffit. Après le pirate va, grossièrement, récupérer une partie de la RAM sur laquelle il pourrait y avoir tes informations personnelles. Que tu sois connecté au serveur via ta connexion perso ou via tout autres choses cela n'importe peut car le résultat est qu'il accès aux infos une fois que le serveur les as en clair. Ce qui peut aussi en découler, c'est que le pirate récupère via cette faille la clé privée du serveur, ce qui lui permettra de déchiffrer les communications entre les utilisateurs et le serveur. Dans ces cas là effectivement être dans un réseau publique est un risque important :/ C'est pour cela qu'il y a plusieurs étapes pour se prémunir d'un fuite de vos identifiants : 1- changer maintenant de mot de passe. 2- Mettre à jour pour corriger la failles (ou attendre que le serveur soit à jour) 3- attendre que le certificat du serveur soit renouveler, et renouveler vos clés privées. 4- changer de mot de passe à nouveau quand tout sera sécurisé.
Non mais allo quoi Vous avez un CLIENT android qui utilise une librairie qui présente une faille quand elle est utilisée par un SERVEUR. Qui fait tourner des services SSL sur son smartphone? Allo quoi Bref pour répondre à la question de mioux non tu ne crains absolument rien avec ton téléphone android, d'ailleurs cette news est une aberration, la faille ne concerne que les serveurs, pas les clients.
La faille à était corriger, il faut juste que les serveurs ce mettent à jour et apparemment c'est fait pour la quasi totalité.
pour ta description du début, c'est à peu près ça oui :) la récupération de ces données ("chunks" de 64 kb, grossièrement) est possible, et le traitement se fait soit à la "main" (le cas de l'ingé qui a "découvert" la faille), soit, et là c'est beaucoup plus dangereux car rapide à faire: une automatisation de la recherche de certains mots ("password", etc). dans ton téléphone Android, basé sur du Linux, OpenSSL est implémenté. dans la majorité des cas, la version implémentée pose soucis. les applis qui utilisent des fonctionalités relatives à SSL passent par la version implémentée de base (normalement).. donc ne reste qu'à attendre une MAJ opérateur/dev indé (selon ROM officielle ou non) pour mettre à jour la version d'OSSL en question, sur le tel. en gros, c'est ça.. t'avais presque tout bon :)
c'est pas comme si ce genre d'organisme étaient les seuls à pouvoir l'exploi.. wait, what? ah, non, ta réflexion est bien stupide!
Si je comprends bien, nous ne sommes plus protégés quand nous utilisons le protocole HTTPS. Cela veut dire que pour nous voler des données, il faut que nous soyons connecté à un Wi-Fi publique (restaurant, gare, etc...), que quelqu'un dans ce réseau utilise un "sniffer réseau" et qu'il soit capable d'exploiter la faille de sécurité ! Le probabilité est quand même extrêmement faible et les conséquences assez négligeables (les banques ayant une authentification forte, il faut encore pirater le 2e moyen de connexion, comme un mot de passe unique par sms ou par un générateur de code).
Steth0 : "Qu'est ce que je m'en fou d'avoir un cerveau ! Comme ça je serais protégé des attaques de zombies !"
Si j'ai bien tout suivi, elle expose les données en RAM d'un serveur qui utilise OpenSSL en version 1.0.1 jusqu'à la vesion f, à cause d'un problème sur la fonctionnalité "heartbeat". Quels services Android sont potentiellement touchés ??? Il y a réellement des serveurs qui écoutent sur Internet par défaut sur le téléphone ? Après pour ce qui est d'autres services qui auraient été installés par l'utilisateur, ils ne sont pas obligés d'utiliser la version de la bibliothèque OpenSSL qui est fournie par le système, et eux aussi peuvent être touchés alors que le système est patché... Après pour ce qui est des connexions côté client, j'ai cru comprendre qu'elles n'étaient pas touchées, seulement celles côté serveur. Ou alors j'ai raté un bout de la news :D
C'est peut être pas que des galaxy s5 (ça coûte cher quand même), certains sont peut être des vrais pansements, mais c'est difficile de les différencier...
Qu'est-ce que je m'en fous que la NSA recolte mes données personnelles. C'est pas comme s'ils vidaient le compte en banque.
C'est bien d'avoir mis 3 Galaxy S5 heu... 3 pansements sur la plaie. Humour mis à part, c'est le parfait exemple à montrer aux aficionados du capteur d'empreinte digitale. Voilà, même un truc qu'on croyait sûr, sécurisé et inviolable, ne l'était finalement pas depuis 2011 !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix