La faille Heartbleed

Discussion dans 'Administration d'un site Web' créé par manolobelge, 14 Avril 2014.

  1. manolobelge
    manolobelge WRInaute discret
    Inscrit:
    19 Décembre 2006
    Messages:
    91
    J'aime reçus:
    2
    bonjour,
    je ne vois pas de sujet sur WRI sur la faille Heartbleed, mais je suppose que tout le monde en a entendu parler. Pour ceux qui ne sont pas à l'aise avec l'anglais, il ya sur http://www.heartbleed.fr une synthèse de ce que l'on sait pour l'instant sur la faille, ses conséquences et ce qu'il y a à faire.
     
    #1 manolobelge, 14 Avril 2014
  2. indigene
    indigene WRInaute accro
    Inscrit:
    7 Septembre 2003
    Messages:
    4 162
    J'aime reçus:
    176
    la situation n'est pas aussi catastrophique qu'elle en a l'air.
    Personne ne donne ses coordonnées bancaires à youtube, gmail, Yahoo, Tumblr ou Dropbox
     
    #2 indigene, 14 Avril 2014
  3. manolobelge
    manolobelge WRInaute discret
    Inscrit:
    19 Décembre 2006
    Messages:
    91
    J'aime reçus:
    2
    exact
    apparemment aucun des grands sites bancaires et autres institutions financières n'est touché
    après il peut y avoir le risque que l'on utile le même mot de passe sur un site comme Facebook qui a été touché et Paypal par exemple. Du coup, par mesure de sécurité, il est préférable de changer ses mots de passe, et même de le faire régulièrement
     
    #3 manolobelge, 14 Avril 2014
  4. Bool
    Bool WRInaute passionné
    Inscrit:
    26 Février 2004
    Messages:
    1 546
    J'aime reçus:
    0
    Quand ça a été annoncé, plusieurs banques étaient touchées, comme presque tout le monde quoi. Et la plupart des banques ont d'ailleurs réagit très vite (<24H) en appliquant le correctif.

    La grande question reste : la faille existant depuis 2 ans, a t-elle été exploitée avant cette annonce ?

    C'est pour ça que dans le doute il est recommandé de changer au moins ce qui est peu couteux (certifs SSL des serveurs Web et Mail, par exemple). À chacun après de calculer le niveau de «risque» qu'il est prêt à prendre sur ce point précis.
     
    #4 Bool, 22 Avril 2014
  5. Doubrovski
    Doubrovski WRInaute occasionnel
    Inscrit:
    9 Avril 2011
    Messages:
    443
    J'aime reçus:
    0
    J'ai vu sur le site de ma banque un message se voulant rassurant, et affirmant qu'il n'y avait même pas besoin de changer ses pass. Ok mais bon... je ne comprends pas pourquoi Open SSL serait considéré comme fiable une fois la faille corrigée.

    Pour les mots de passe, on considère souvent un type de hachage comme Sha1 ou MD5 fiable (wordpress utilise MD5). Etant donné que la plupart des gens utilisent des mots simples ou des mélanges de mots simples qui gravitent sur leurs différents profils, je pense que des dictionnaires très complets et des logiciels de génération de mdp à partir d'un dico existent depuis longtemps.
    Enfin j'ai peu de connaissance du domaine de la crypto :)
     
    #5 Doubrovski, 22 Avril 2014
  6. Bool
    Bool WRInaute passionné
    Inscrit:
    26 Février 2004
    Messages:
    1 546
    J'aime reçus:
    0
    La meilleure explication que j'ai vue pour heartbleed, c'est cette simple BD : http://xkcd.com/1354/

    Quant à OpenSSL, d'une part un grand nombre d'experts se sont enfin penché dessus afin d'analyser tout ça et ont dores et déjà corrigé d'autres bugs, plus ou moins importants. Ainsi Debian a par exemple mis en ligne d'autres correctifs en fin de semaine dernière (jeudi soir). D'autres sont en train de nettoyer le code d'OpenSSL de manière plus approfondie, afin de pouvoir mieux l'analyser et le maintenir sur le long terme.
    Bref, cette faille a secoué tout le web, et en grand nombre de personnes cherchent activement à fiabiliser tout ça.

    Enfin pour ce qui est de ta remarque sur le sha1 & md5, je ne vois pas la rapport avec la choucroute.
     
    #6 Bool, 22 Avril 2014
  7. HawkEye
    HawkEye WRInaute accro
    Inscrit:
    23 Février 2004
    Messages:
    13 932
    J'aime reçus:
    5
    La faille existe depuis 2 ans... la question n'est pas de savoir s'il faut changer de mot de passe, mais de savoir quels mots de passe vous avez utilisé ces deux dernières années... et à quel point ils s'entrecroisent.

    Bien évidemment, si vous utilisez des mots simples ou la date de naissance du gamin, inutile de vous inquiéter: votre mot de passe est notoirement connu depuis 15 ans ;)
     
    #7 HawkEye, 23 Avril 2014
(Vous devez vous identifier ou vous inscrire pour poster ici.)
Chargement...
Similar Threads - faille Heartbleed Forum Date
Une faille dans les URL de Google Référencement Google 10 Janvier 2019
Google ferme Google+ (pour les particuliers) suite à la découverte d'une faille Google+ 8 Octobre 2018
Une faille dans Google exploitée par des hackers pour voler le référencement : que faire ? Référencement Google 20 Avril 2016
Test faille javascript - Forbidden Administration d'un site Web 3 Décembre 2015
fail2ban / iptables contre le scan de failles Administration d'un site Web 8 Juin 2015
Tests d'injection sql et tous types de failles Développement d'un site Web ou d'une appli mobile 17 Avril 2015
Faille ajax possible? Développement d'un site Web ou d'une appli mobile 11 Février 2015
Outils pour tester d'éventuelles failles de sécurité sur notre site? Développement d'un site Web ou d'une appli mobile 20 Janvier 2015
Faille Google, Google fail !! Référencement Google 22 Août 2013
Une faille de phpBB exploitée par un site de trading Administration d'un site Web 25 Avril 2012