La faille Heartbleed

manolobelge · 14 Avril 2014

bonjour,
je ne vois pas de sujet sur WRI sur la faille Heartbleed, mais je suppose que tout le monde en a entendu parler. Pour ceux qui ne sont pas à l'aise avec l'anglais, il ya sur http://www.heartbleed.fr une synthèse de ce que l'on sait pour l'instant sur la faille, ses conséquences et ce qu'il y a à faire.

indigene · 14 Avril 2014

la situation n'est pas aussi catastrophique qu'elle en a l'air.
Personne ne donne ses coordonnées bancaires à youtube, gmail, Yahoo, Tumblr ou Dropbox

manolobelge · 14 Avril 2014

exact
apparemment aucun des grands sites bancaires et autres institutions financières n'est touché
après il peut y avoir le risque que l'on utile le même mot de passe sur un site comme Facebook qui a été touché et Paypal par exemple. Du coup, par mesure de sécurité, il est préférable de changer ses mots de passe, et même de le faire régulièrement

Bool · 22 Avril 2014

Quand ça a été annoncé, plusieurs banques étaient touchées, comme presque tout le monde quoi. Et la plupart des banques ont d'ailleurs réagit très vite (<24H) en appliquant le correctif.

La grande question reste : la faille existant depuis 2 ans, a t-elle été exploitée avant cette annonce ?

C'est pour ça que dans le doute il est recommandé de changer au moins ce qui est peu couteux (certifs SSL des serveurs Web et Mail, par exemple). À chacun après de calculer le niveau de «risque» qu'il est prêt à prendre sur ce point précis.

Doubrovski · 22 Avril 2014

J'ai vu sur le site de ma banque un message se voulant rassurant, et affirmant qu'il n'y avait même pas besoin de changer ses pass. Ok mais bon... je ne comprends pas pourquoi Open SSL serait considéré comme fiable une fois la faille corrigée.

Pour les mots de passe, on considère souvent un type de hachage comme Sha1 ou MD5 fiable (wordpress utilise MD5). Etant donné que la plupart des gens utilisent des mots simples ou des mélanges de mots simples qui gravitent sur leurs différents profils, je pense que des dictionnaires très complets et des logiciels de génération de mdp à partir d'un dico existent depuis longtemps.
Enfin j'ai peu de connaissance du domaine de la crypto

Bool · 22 Avril 2014

La meilleure explication que j'ai vue pour heartbleed, c'est cette simple BD : http://xkcd.com/1354/

Quant à OpenSSL, d'une part un grand nombre d'experts se sont enfin penché dessus afin d'analyser tout ça et ont dores et déjà corrigé d'autres bugs, plus ou moins importants. Ainsi Debian a par exemple mis en ligne d'autres correctifs en fin de semaine dernière (jeudi soir). D'autres sont en train de nettoyer le code d'OpenSSL de manière plus approfondie, afin de pouvoir mieux l'analyser et le maintenir sur le long terme.
Bref, cette faille a secoué tout le web, et en grand nombre de personnes cherchent activement à fiabiliser tout ça.

Enfin pour ce qui est de ta remarque sur le sha1 & md5, je ne vois pas la rapport avec la choucroute.

HawkEye · 23 Avril 2014

La faille existe depuis 2 ans... la question n'est pas de savoir s'il faut changer de mot de passe, mais de savoir quels mots de passe vous avez utilisé ces deux dernières années... et à quel point ils s'entrecroisent.

Bien évidemment, si vous utilisez des mots simples ou la date de naissance du gamin, inutile de vous inquiéter: votre mot de passe est notoirement connu depuis 15 ans

Similar Threads - faille Heartbleed	Forum	Date
Une faille dans les URL de Google	Référencement Google	10 Janvier 2019
Google ferme Google+ (pour les particuliers) suite à la découverte d'une faille	Google+	8 Octobre 2018
Une faille dans Google exploitée par des hackers pour voler le référencement : que faire ?	Référencement Google	20 Avril 2016
Test faille javascript - Forbidden	Administration d'un site Web	3 Décembre 2015
fail2ban / iptables contre le scan de failles	Administration d'un site Web	8 Juin 2015
Tests d'injection sql et tous types de failles	Développement d'un site Web ou d'une appli mobile	17 Avril 2015
Faille ajax possible?	Développement d'un site Web ou d'une appli mobile	11 Février 2015
Outils pour tester d'éventuelles failles de sécurité sur notre site?	Développement d'un site Web ou d'une appli mobile	20 Janvier 2015
Faille Google, Google fail !!	Référencement Google	22 Août 2013
Une faille de phpBB exploitée par un site de trading	Administration d'un site Web	25 Avril 2012
Site malveillant : comment corriger la faille ?	Problèmes de référencement spécifiques à vos sites	4 Décembre 2011
Faille sur Zenphoto	Développement d'un site Web ou d'une appli mobile	11 Novembre 2011
Diffuser des failles découvertes	Droit du web (juridique, fiscalité...)	20 Juin 2011
Faille de sécurité dans Plesk et ProFTPd	Administration d'un site Web	12 Novembre 2010
Serveur surchargé ? Faille ?	Développement d'un site Web ou d'une appli mobile	9 Septembre 2010
Google trouve la grande faille de sécurité de Win XP	Google : l'entreprise, les sites web, les services	14 Juin 2010
Attention faille de sécurité avec Phpmyvisits	Administration d'un site Web	4 Janvier 2010
[Important] Faille PhpMyAdmin (09/06/09)	Administration d'un site Web	10 Juin 2009
Faille MD5 par création d'un certificat toujours valide	Administration d'un site Web	2 Janvier 2009
fichier.php.txt est éxécuté... faille ?	Administration d'un site Web	29 Décembre 2008