Auteur Sujet: Faille de sécurité majeure OpenSSL  (Lu 666 fois)

Hors ligne ademine

  • Membre
  • Messages: 1174
Faille de sécurité majeure OpenSSL
« le: avril 08, 2014, 19:05:25 pm »
http://heartbleed.com/

Une des plus grosses failles de sécurité de l'histoire est publique depuis aujourd'hui. OpenSSL est une librairie de crypto open source utilisée un peu partout.

Le problème est déjà fixé mais le fix n'est pas encore appliqué partout.

This may be the biggest security vulnerabilty of all time.
The scope of this bug can't be underestimated. Essentially an attacker can connect to any server running OpenSSL and steal anything in process memory including the encryption keys. ( Silently )
This means:
An attacker can just open a connection to your bank over https and silently download among other things the keys used to prove to browsers that the bank is who they say they are.
From now on they can pretend to be your bank and you will get the nice green secure tick in your browser, stealing all your communication.
Up to 70% of the internet has been totally insecure for 2 years and will be for a while yet.
You can rectify the problem by installing the latest version of OpenSSL but there is no way to know you haven't already had your keys stolen.

The only way to be secure is to upgrade OpenSSL. Create new certificates and revoke your old certificates. Sysadmins the world over are about to have a very bad week.

Some good discussion happening over at HN: https://news.ycombinator.com/item?id=7548991
Here is the security advisory from OpenSSL: https://www.openssl.org/news/secadv_20140407.txt
Site to test if you're vulnerable: http://filippo.io/Heartbleed/

The following operating systems have shipped with vulnerable versions of OpenSSL
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)

Le forum est sans danger.

http://filippo.io/Heartbleed/#www.forumdupeuple.com

Je vous conseille de vérifier pour vos sites critiques (comme la banque) et de mettre à jour immédiatement votre OpenSSL si vous êtes sur Linux ou OS X.
« Modifié: avril 18, 2014, 12:26:04 pm par ademine »

Hors ligne Wotan

  • Membre
  • Messages: 3602
Faille de sécurité majeure OpenSSL
« Réponse #1 le: avril 08, 2014, 20:31:20 pm »
Méchante erreur de programmation en tout cas, facilitée si j'ai bien compris par la non robustesse du C (un mix décapant de pointeurs en folie et d'allocations mémoire non vérifiées).

Rien ne dit que la faille a été découverte et exploitée depuis qu'elle existe, mais c'est certain que si c'est le cas, les conséquences sont épouvantables, et nécessitent d'une part que les sites web regénèrent leurs certificats, d'autre part que les clients potentiellement victimes changent leurs mots de passe (mais comment savoir si on a visité un site 1) qui avait la vulnérabilité 2) qui a été attaqué ?). Et bien entendu, que tout le monde update openssl (l'update est arrivé aujourd'hui dans ma distribution).
« Modifié: avril 08, 2014, 20:33:15 pm par Wotan »

Hors ligne Wotan

  • Membre
  • Messages: 3602
Faille de sécurité majeure OpenSSL
« Réponse #2 le: avril 08, 2014, 22:45:38 pm »
Le bon côté de l'affaire si on veut être optimiste et/ou charitable, c'est que la faille a été découverte non pas parce que des sites se sont effectivement fait hacker (cela resterait à prouver), mais suite à une inspection du code source.

Hors ligne Lisa

  • Membre
  • Messages: 11148
  • Jeannette officielle du forum
Faille de sécurité majeure OpenSSL
« Réponse #3 le: avril 09, 2014, 06:37:51 am »
Quoi faire quand on est pas sur Linux ou OS X?
"It's amazing how I can feel sorry for you and hate you at the same time. I'm sure there's a German word for it." - Lisa

Hors ligne Jay.

  • Membre
  • Messages: 8835
  • Fifille Victimisante
Faille de sécurité majeure OpenSSL
« Réponse #4 le: avril 09, 2014, 10:18:22 am »
Revenu Canada ferme son site de façon préventive

En espérant que le site revienne avant la fin du mois!
J'avais une idée de signature géniale, mais je ne m'en rappelle plus.

Hors ligne Wotan

  • Membre
  • Messages: 3602
Faille de sécurité majeure OpenSSL
« Réponse #5 le: avril 09, 2014, 10:19:47 am »
Quoi faire quand on est pas sur Linux ou OS X?

Croiser les doigts pour ne pas avoir visité un site présentant la faille, courant ainsi le risque de s'être fait intercepter son trafic par une partie malveillante...

D'ailleurs, l'Agence de Revenu du Canada vient de débrancher ses services en ligne, en cette période d'impôts !

http://tvanouvelles.ca/lcn/infos/national/archives/2014/04/20140409-083441.html

Commentaire de l'expert en cryptographie Bruce Schneier :

At this point, the odds are close to one that every target has had its private keys extracted by multiple intelligence agencies. The real question is whether or not someone deliberately inserted this bug into OpenSSL, and has had two years of unfettered access to everything. My guess is accident, but I have no proof.

My guess is that they learned about this -- and started exploiting -- this bug yesterday, along with everyone else who is fast enough to do that.


https://www.schneier.com/blog/archives/2014/04/heartbleed.html
« Modifié: avril 09, 2014, 10:23:45 am par Wotan »

Hors ligne ademine

  • Membre
  • Messages: 1174
Faille de sécurité majeure OpenSSL
« Réponse #6 le: avril 09, 2014, 12:44:46 pm »
Quoi faire quand on est pas sur Linux ou OS X?

Vérifier que les sites que l'on fréquente sont sans danger avec:
http://filippo.io/Heartbleed

ou l'extension chrome:
https://chrome.google.com/webstore/detail/chromebleed/eeoekjnjgppnaegdjbcafdggilajhpic

Changer ses mots de passes, regénérer ses clés et certificats que l'on considère importants, une fois leurs domaines d'utilisation sécures. Il n'y a aucune façon de savoir si cette faille n'a pas été utilisée dans le passé et c'est certain que depuis que la faille est connue les gens qui ont les ressources pour le faire l'exploitent le plus qu'ils le peuvent.

Se croiser les doigts.

Ici, un bel exemple de pourquoi il ne faut jamais réutiliser un mot de passe: il suffirait d'un seul serveur pas à jour d'un service futile pour exposer nos données et nos accès à des comptes plus importants ailleurs.
« Modifié: avril 09, 2014, 12:49:10 pm par ademine »

Hors ligne Enforcer

  • Membre
  • Messages: 83
Faille de sécurité majeure OpenSSL
« Réponse #7 le: avril 09, 2014, 13:39:21 pm »
Quoi faire quand on est pas sur Linux ou OS X?

...

Changer ses mots de passes, regénérer ses clés et certificats que l'on considère importants, une fois leurs domaines d'utilisation sécures.

À moins que je ne me trompe, il n'y a pas beaucoup d'usagers moyens qui s'authentifient à un site Web en utilisant un certificat SSL/TLS ou qui en possèdent un. Ce conseil s'applique donc plus ou moins à eux (à mon humble avis).

Cependant, les sites auxquels ils se connectent s'authentifient à eux en montrant des certificats, et le fureteur vérifient ceux-ci pour s'assurer de leur validité. Le problème, c'est que même si l'usager moyen peut vérifier que le site qu'il visite ne souffre pas du problème, il lui sera difficile de vérifier si ce site a été vulnérable dans le passé, et dans un tel cas, si les certificats originaux du site ont été révoqués et que de nouveaux ont été générés.

***

Le bon côté de l'affaire si on veut être optimiste et/ou charitable, c'est que la faille a été découverte non pas parce que des sites se sont effectivement fait hacker (cela resterait à prouver), mais suite à une inspection du code source.

Je me demande si je devrais me pincer le nez et visiter un certain recoin nauséabond de la carnetosphère québécoise, histoire de voir si un vieil ami (!?) fera mention de cette vulnérabilité. S'il écrit quelque chose à ce sujet, je serais surpris que ce soit pour faire autre chose qu'affirmer que cette faille prouve que le logiciel libre ne vaut rien et prétendre qu'il est impossible de sécuriser un logiciel dont le fonctionnement interne peut être examiné par n'importe qui. Bien sûr, la réponse à ceux qui seraient tentés d'utiliser un tel argumentaire est la suivante: c'est le fait que le code de source est disponible qui nous a permis de découvrir ce problème.
« Modifié: avril 09, 2014, 14:15:23 pm par Enforcer »

Hors ligne Wotan

  • Membre
  • Messages: 3602
Faille de sécurité majeure OpenSSL
« Réponse #8 le: avril 09, 2014, 15:13:46 pm »
:smiley36:


Hors ligne ademine

  • Membre
  • Messages: 1174
Faille de sécurité majeure OpenSSL
« Réponse #9 le: avril 09, 2014, 17:25:37 pm »
À moins que je ne me trompe, il n'y a pas beaucoup d'usagers moyens qui s'authentifient à un site Web en utilisant un certificat SSL/TLS ou qui en possèdent un. Ce conseil s'applique donc plus ou moins à eux (à mon humble avis).

Cependant, les sites auxquels ils se connectent s'authentifient à eux en montrant des certificats, et le fureteur vérifient ceux-ci pour s'assurer de leur validité. Le problème, c'est que même si l'usager moyen peut vérifier que le site qu'il visite ne souffre pas du problème, il lui sera difficile de vérifier si ce site a été vulnérable dans le passé, et dans un tel cas, si les certificats originaux du site ont été révoqués et que de nouveaux ont été générés.

Bien, ça dépend comment tu définis usager moyen mais oui, s'il n'utilise pas de certificats pour s'authentifier l'usager moyen n'a pas grand chose à faire de cette faille outre modifier ses mots de passe.

À ce sujet, voici une liste de sites populaires testés le 8 avril à 16:00 UTC.

https://github.com/musalbas/heartbleed-masstest/blob/master/top10000.txt?_ga=1.261380299.79733566.1395457651

Si un site que vous utilisez y est marqué comme vulnérable, changez votre mot de passe s'y rattachant lorsque le site annoncera avoir réglé le problème et regénéré ses certificats.

Je pense que ça devrait être suffisant pour les besoins de 99% des gens.

Ceux qui ont un besoin plus pédantique de sécurité devraient savoir quoi faire déjà.

Hors ligne Lisa

  • Membre
  • Messages: 11148
  • Jeannette officielle du forum
Faille de sécurité majeure OpenSSL
« Réponse #10 le: avril 09, 2014, 17:34:02 pm »
yahoo flickr tumblr déjà réglé de leur côté, on peut donc changer de mot de passe.
"It's amazing how I can feel sorry for you and hate you at the same time. I'm sure there's a German word for it." - Lisa

Hors ligne Lisa

  • Membre
  • Messages: 11148
  • Jeannette officielle du forum
Faille de sécurité majeure OpenSSL
« Réponse #11 le: avril 09, 2014, 17:37:19 pm »
le monsieur de la polytechnique interviewé par janik tremblay qui fait la chronique techno au 15-18 m'a très bien expliqué ça.
"It's amazing how I can feel sorry for you and hate you at the same time. I'm sure there's a German word for it." - Lisa

Hors ligne Poune-Keuz

  • Membre
  • Messages: 3530
  • Allons-y, Alonso!
Faille de sécurité majeure OpenSSL
« Réponse #12 le: avril 09, 2014, 18:41:01 pm »
Bon, je pense que je viens d'avoir la raison pour laquelle on a demandé à tous nos hôtels de réinitialiser leur mot de passe... beaucoup de plaisir à expliquer aux vieilles madames de maisons d'hôtes comment cliquer sur un fucking lien dans un courriel et que NON MADAME DITES-MOI PAS VOTRE MOT DE PASSE 1234 AU TÉLÉPHONE.

Hors ligne Pontiak

  • Membre
  • Messages: 7998
Faille de sécurité majeure OpenSSL
« Réponse #13 le: avril 10, 2014, 11:03:59 am »
Je me servais de ca pour boguer l'ordinateur a Kabong.

Hors ligne Jay.

  • Membre
  • Messages: 8835
  • Fifille Victimisante
Faille de sécurité majeure OpenSSL
« Réponse #14 le: avril 10, 2014, 11:40:19 am »
Bon, je pense que je viens d'avoir la raison pour laquelle on a demandé à tous nos hôtels de réinitialiser leur mot de passe... beaucoup de plaisir à expliquer aux vieilles madames de maisons d'hôtes comment cliquer sur un fucking lien dans un courriel et que NON MADAME DITES-MOI PAS VOTRE MOT DE PASSE 1234 AU TÉLÉPHONE.

Ces gens-là n'ont pas besoin de failles pour que la confidentialité de leurs données soit à risque!
J'avais une idée de signature géniale, mais je ne m'en rappelle plus.

Hors ligne dardar32

  • Membre
  • Messages: 5809
  • Je suis juste trop beau.

Hors ligne Lisa

  • Membre
  • Messages: 11148
  • Jeannette officielle du forum
Faille de sécurité majeure OpenSSL
« Réponse #16 le: avril 11, 2014, 06:30:37 am »
BD simple de xkcd.

Je comprends encore un peu plus.

http://xkcd.com/1354/
"It's amazing how I can feel sorry for you and hate you at the same time. I'm sure there's a German word for it." - Lisa

Hors ligne El Kabong

  • Membre
  • Messages: 5090
  • Données erronées, résultats significatifs.
Faille de sécurité majeure OpenSSL
« Réponse #17 le: avril 11, 2014, 15:05:19 pm »
Je me servais de ca pour boguer l'ordinateur a Kabong.
Je n'ai pas d'ordi, je passe par le saint-esprit pour aller sur le net.
Z

Hors ligne sharl

  • Membre
  • Messages: 6102
Faille de sécurité majeure OpenSSL
« Réponse #18 le: avril 11, 2014, 21:36:04 pm »
L'agence de sécurité américaine connaissait la faille de sécurité et l'aurait exploité pendant des années pour recueillir de l'information.

"NSA Said to Exploit Heartbleed Bug for Intelligence for Years" Et c'est une agence très sérieuse, Bloomberg, qui l'avance.

http://www.bloomberg.com/video/what-nsa-knew-about-heartbleed-bug-aJYyngTTSYKdlucEKrK4ag.html
« Modifié: avril 11, 2014, 21:40:04 pm par sharl »

Hors ligne El Kabong

  • Membre
  • Messages: 5090
  • Données erronées, résultats significatifs.
Faille de sécurité majeure OpenSSL
« Réponse #19 le: avril 13, 2014, 01:22:34 am »
L'agence de sécurité américaine connaissait la faille de sécurité et l'aurait exploité pendant des années pour recueillir de l'information.

"NSA Said to Exploit Heartbleed Bug for Intelligence for Years" Et c'est une agence très sérieuse, Bloomberg, qui l'avance.

http://www.bloomberg.com/video/what-nsa-knew-about-heartbleed-bug-aJYyngTTSYKdlucEKrK4ag.html


Les Empires sont schizoïdes, pourquoi s'étonner de les voir faire de la paranoïa?

Zéro complot.  La routine habituelle.
Z