La faille Heartbleed

[manolobelge]

bonjour,
je ne vois pas de sujet sur WRI sur la faille Heartbleed, mais je suppose que tout le monde en a entendu parler. Pour ceux qui ne sont pas à l'aise avec l'anglais, il ya sur http://www.heartbleed.fr une synthèse de ce que l'on sait pour l'instant sur la faille, ses conséquences et ce qu'il y a à faire.

 

[indigene]

la situation n'est pas aussi catastrophique qu'elle en a l'air.
Personne ne donne ses coordonnées bancaires à youtube, gmail, Yahoo, Tumblr ou Dropbox

 

[manolobelge]

exact
apparemment aucun des grands sites bancaires et autres institutions financières n'est touché
après il peut y avoir le risque que l'on utile le même mot de passe sur un site comme Facebook qui a été touché et Paypal par exemple. Du coup, par mesure de sécurité, il est préférable de changer ses mots de passe, et même de le faire régulièrement

 

[Bool]

Quand ça a été annoncé, plusieurs banques étaient touchées, comme presque tout le monde quoi. Et la plupart des banques ont d'ailleurs réagit très vite (<24H) en appliquant le correctif.

La grande question reste : la faille existant depuis 2 ans, a t-elle été exploitée avant cette annonce ?

C'est pour ça que dans le doute il est recommandé de changer au moins ce qui est peu couteux (certifs SSL des serveurs Web et Mail, par exemple). À chacun après de calculer le niveau de «risque» qu'il est prêt à prendre sur ce point précis.

 

[Doubrovski]

J'ai vu sur le site de ma banque un message se voulant rassurant, et affirmant qu'il n'y avait même pas besoin de changer ses pass. Ok mais bon... je ne comprends pas pourquoi Open SSL serait considéré comme fiable une fois la faille corrigée.

Pour les mots de passe, on considère souvent un type de hachage comme Sha1 ou MD5 fiable (wordpress utilise MD5). Etant donné que la plupart des gens utilisent des mots simples ou des mélanges de mots simples qui gravitent sur leurs différents profils, je pense que des dictionnaires très complets et des logiciels de génération de mdp à partir d'un dico existent depuis longtemps.
Enfin j'ai peu de connaissance du domaine de la crypto

 

[Bool]

La meilleure explication que j'ai vue pour heartbleed, c'est cette simple BD : http://xkcd.com/1354/

Quant à OpenSSL, d'une part un grand nombre d'experts se sont enfin penché dessus afin d'analyser tout ça et ont dores et déjà corrigé d'autres bugs, plus ou moins importants. Ainsi Debian a par exemple mis en ligne d'autres correctifs en fin de semaine dernière (jeudi soir). D'autres sont en train de nettoyer le code d'OpenSSL de manière plus approfondie, afin de pouvoir mieux l'analyser et le maintenir sur le long terme.
Bref, cette faille a secoué tout le web, et en grand nombre de personnes cherchent activement à fiabiliser tout ça.

Enfin pour ce qui est de ta remarque sur le sha1 & md5, je ne vois pas la rapport avec la choucroute.

 

[HawkEye]

La faille existe depuis 2 ans... la question n'est pas de savoir s'il faut changer de mot de passe, mais de savoir quels mots de passe vous avez utilisé ces deux dernières années... et à quel point ils s'entrecroisent.

Bien évidemment, si vous utilisez des mots simples ou la date de naissance du gamin, inutile de vous inquiéter: votre mot de passe est notoirement connu depuis 15 ans