NewbieContest

Et ben, la semaine est forte en émotions !

Hier, en plus de la fin du support XP, on a eu un beau "bug" sur openssl. Une bête variable non sécurisée a permis (pendant plus ou moins deux ans apparemment) de mettre tous les sites utilisant du SSL a poil sur Internet. Quand je dis à poil, cela signifie récupération potentielle des clés privées, mais aussi les crédentials, les numéros potentiels de CB, des cookies de sessions, et j'en passe. En gros, dès qu'on a du SSL, on est virtuellement foutu !

Le truc marrant dans l'histoire, c'est que openSSL, c'est pas un petit projet, il est utilisé un peu partout,  ça pique un peu du coup. (https://gist.github.com/dberkholz/10169691) Même le FBI a été touché. Encore un coup de la NSA ? :)

Techniquement parlant, ce n'est pas très compliqué à comprendre, juste une histoire de mémoire non initialisée : le client envoie régulièrement des heartbeats, le serveur les recoie et répond. Le souci c'est que le serveur attend un message d'une taille définie. Si on envoie un message de taille inférieur, le serveur complète son retour avec ce qui se trouve dans la ram. Si ce qui est dans la ram contient des mots de passes, c'est gagné :)

La petite info qui va bien, c'est la mise à jour des sources  : en mettant la version 1.0.1g, le problème est résolu. A faire d'urgence.

Un peu plus d'explications ici : heartbleed.com (http://heartbleed.com/) ou là : pcinpact.com (http://www.pcinpact.com/news/86941-heartbleed-openssl-et-question-securite-expliques-simplement.htm)
Pour faire le teste, c'est par là : filippo.io/Heartbleed/ (http://filippo.io/Heartbleed/)


Enjoy

The lsd

Hi !

En effet en voilà une belle faille !
Un peu plus d'infos techniques avec ce lien : http://blog.cryptographyengineering.com/2014/04/attack-of-week-openssl-heartbleed.html

En tout cas c'est cool ces petites news régulières sur le site :)

Cool, thanks pour le lien technique, ça m'évite de pondre un truc :)

Btw, je me suis pas rendu compte au premier coup d'oeil hier, mais cette faille est énorme, elle surpasse de loin la faille de 2008 qui permettait de chopper les clés privées, on a (virtuellement) accès à toute la mémoire du process, suffit de lancer l'attaque en boucle et tu récupères en clair plus ou moins tout le trafic d'un site, même pas besoin de MITM :)
Imagine un peu les banques, elles ont du pas mal se faire dessus en apprenant le truc !

Content que les news régulières te plaisent, faut pas hésiter à poster, pour peu que la news soit un minimum rédigée, avec quelques sources :)

Enjoy

The lsd

Petite précision c'est uniquement à partir de la 1.0.1 jusque 1.0.1f les autres ne sont pas impactées normalement.
(aussi la 1.0.2beta1 me semble t il)

Également si l'extension heartbeat id15 n'est pas activée pas de problème non plus (de ma compréhension)

Pour tester en local :

openssl s_client -connect localhost:443  -tlsextdebug 2>&1| grep 'server extension "heartbeat" (id=15)' || echo safe

Vachement déçu par la rubrique, je pensais à un truc plus lubrique =D

Du type: Hollande+Payet=(je te rejoins en scooter)

ferbos

Dans ce cas, ce lien est pour toi (http://www.voici.fr/)   =)

Enjoy

The lsd

Merci. J'avais du mal à choisir entre le Carlton et le Sofitel pour cet été =D

ferbos

C'est maintenant officiel, on PEUT obtenir les clés privées avec Heartbleed : blog.cloudflare.com/the-results-of-the-cloudflare-challenge (http://blog.cloudflare.com/the-results-of-the-cloudflare-challenge)

Avant, on était sur de la théorie, là, c'est concret !

Enjoy

The lsd

Merci pour l'info :)

Azy, j'suis vraiment sous doué avec le bbcode en ce moment.

Bref, link fixed, tu peux réessayer maintenant :)

Enjoy

The lsd

J'suis sûr que le bbcode n'est pour rien dans cette histoire. Les liens "people" sont plus facile à écrire =D

Amen.

ferbos