Archives de Tag: OpenSSL

Réparer la faille Heartbleed perturbera internet

Publié par nuage1962 le

Tranquillement, les navigateurs, les sites se remettent de l’intrusion du Heartbleed. Cependant, il se peut que certains sites soient perturbés en lenteur ou en accessibilité
Nuage

 

Réparer la faille Heartbleed perturbera internet

 

Réparer la faille Heartbleed perturbera internet

Photo Heartbleed

WASHINGTON – Réparer l’importante faille informatique Heartbleed, découverte la semaine dernière, pourrait selon des experts américains en sécurité informatique perturber et ralentir internet le temps que son antidote soit généralisé.

La bonne nouvelle est que la plupart des grands sites vulnérables ont mis à jour leurs systèmes. Mais la mauvaise nouvelle est que les navigateurs (Chrome, Firefox, Internet Explorer…) risquent d’être surchargés par le renouvellement nécessaire des certificats de sécurité, ce qui pourrait conduire à des messages d’erreur et ralentir l’accès à certains sites, explique Johannes Ullrich, du SANS Internet Storm Center.

Heartbleed («coeur qui saigne» en français) touche les versions postérieures à mars 2012 d’une portion de programme baptisée OpenSSL, intégrée à de très nombreux sites internet pour sécuriser des communications ou des transactions.

Le correctif passe par l’obtention par les sites de nouveaux certificats de sécurité pour qu’ils soient reconnus comme fiables par les navigateurs. Mais, les navigateurs doivent mettre à jour leur liste de certificats ou «clés» non fiables ou frauduleux, qui déclenchent une alerte quand un internaute tente d’y accéder.

Les navigateurs peuvent habituellement mettre à jour quelques dizaines de clés par jour, mais à cause d’Heartbleed, la liste pourrait se monter à plusieurs dizaines de milliers. Et si la vérification dure trop longtemps, les navigateurs pourraient simplement déclarer le site invalide ou retourner un message d’erreur.

«Les gens vont voir des erreurs», prévient Johannes Ullrich. Le danger, selon lui, est que les utilisateurs ignorent ces avertissements.

Alors que des milliers de sites requièrent de nouveaux certificats de sécurité, «certaines autorités de certificats et administrateurs de sites ont fait des erreurs flagrantes», a souligné la société de sécurité informatique Netcraft.

Google a appelé lundi les développeurs d’applications pour téléphones Android à créer de nouvelles clés de sécurité pour empêcher d’éventuelles failles.

Veo Zhang, spécialiste de sécurité informatique chez Trend Micro, explique que les smartphones sont potentiellement vulnérables, à la fois parce qu’ils se connectent à des serveurs affectés par Heartbleed, et parce que certaines applications mobiles sont vulnérables.

«Nous en avons trouvé 273 (applications) dans Google Play», c’est-à-dire dans l’univers des applications pour Android, a-t-il écrit sur son blogue.

http://fr.canoe.ca/

Heartbleed: des dégâts difficiles à évaluer

Publié par nuage1962 le

Le piratage Heartbleed cause bien des mots de tête, On change oui ou non nos mots de passe ? Doit-on changer sur tous les sites que nous allons ayant besoin d’un mot de passe ? Mais attention, dans vos courriels, certains profiterons de vous harponner en demandant des renseignements confidentiels pour changer votre mot de passe.
Nuage

 

Heartbleed: des dégâts difficiles à évaluer

 

Heartbleed: des dégâts difficiles à évaluer

Photo Fotolia

Sophie Estienne

 

NEW YORK – Presque une semaine après sa découverte, la faille informatique Heartbleed fait l’unanimité chez les experts pour ce qui est de sa gravité mais l’ampleur des dégâts reste difficile à évaluer.

Heartbleed («coeur qui saigne» en français) touche les versions postérieures à mars 2012 d’une portion de programme baptisée OpenSSL, intégrée à nombre de sites internet, serveurs de messagerie et autres accès distants aux entreprises de type VPN.

«C’est sans aucun doute une vulnérabilité critique», indique à l’AFP Thomas Gayet, un spécialiste de la lutte contre la cybercriminalité du cabinet français de conseil en sécurité informatique Lexsi. «Il y a des systèmes vulnérables depuis 2012» et «il y a pu y avoir une fuite de données».

Les pirates ne peuvent pas cibler précisément leurs attaques mais «si sur les deux dernières années des gens ont eu la connaissance de cette vulnérabilité et l’ont utilisée, cela maximise leurs chances d’obtenir des informations sensibles», juge l’expert.

L’agence de renseignement américaine NSA, dont l’espionnage à grande échelle sur internet avait été divulgué l’an dernier par son ancien consultant Edward Snowden, a en tout cas démenti formellement vendredi avoir eu connaissance et exploité Heartbleed.

Thomas Gayet reconnaît qu’il «n’est pas facile a posteriori de savoir si la faille a été utilisée» car cela «ne laisse pas de traces dans les fichiers».

La liste des victimes potentielles est très longue.

Parmi des services en ligne contactés par l’AFP, les groupes internet Yahoo! et Google, le réseau social Facebook et sa filiale de partage de photos Instagram, le site de vidéo en streaming Netflix, ou encore la plateforme de réservation d’hébergements chez l’habitant Airbnb ont effectué une mise à jour de sécurité.

Le site de distribution Amazon.com et le réseau LinkedIn se disent en revanche épargnés. Apple a assuré que ses systèmes d’exploitation iOS et OSX, ainsi que ses «services en ligne clé», n’étaient pas affectés.

Idem pour «la plupart» des services de Microsoft, dont la messagerie Outlook, la messagerie vidéo Skype ou la suite de bureautique en ligne Office 365.

MOTS DE PASSE

 

À côté des géants du web, les banques américaines ont été appelées par leurs régulateurs à remédier «le plus vite possible» à la faille. La première d’entre elles, JPMorgan Chase, a assuré vendredi que ses consommateurs n’avaient pas été exposés.

«Les grands groupes ont pu régler le problème assez vite», explique à l’AFP Tim Maurer, expert en sécurité de la New America Foundation. «Ce sont les entreprises plus petites et de taille moyenne qui n’ont pas nécessairement les ressources et les équipes d’experts en sécurité pour mettre leur système à jour rapidement».

Autre raison de craindre que le problème soit compliqué à régler: des fournisseurs d’infrastructures de réseaux informatiques et télécoms, comme Cisco ou Juniper Networks, soulignent que leurs équipements peuvent eux aussi être affectés.

Si Google estime que ses utilisateurs «n’ont pas besoin de changer leurs mots de passe», la mesure reste recommandée par beaucoup d’acteurs.

Facebook dit ainsi n’avoir «aucun signe d’activité suspecte» mais propose à ses membres de «saisir l’occasion (…) pour créer un mot de passe unique pour leur compte Facebook qui ne soit pas utilisé sur d’autres sites».

Yahoo! suggère en outre «de fournir un numéro de téléphone comme moyen secondaire d’identification».

Changer tous ses mots de passe sans discernement est «un mauvais conseil», prévient toutefois sur son site Graham Cluley, analyste indépendant spécialisé en sécurité informatique.

«On devrait seulement changer les mots de passe sur les sites qui ont confirmé avoir réglé le problème. Le reste augmenterait en réalité les chances que vos informations privées soient interceptées» par des pirates se dépêchant d’exploiter la faille avant sa disparition.

D’autres pourraient aussi, selon lui, utiliser Heartbleed comme prétexte pour des tentatives de «fishing», des courriels demandant de changer un mot de passe et renvoyant sur de fausses copies de sites internet populaires.

Les experts conseillent également aux internautes de surveiller avec une attention particulière leurs comptes bancaires, pour repérer une éventuelle transaction suspecte.

http://fr.canoe.ca/