Coucou Philippe et les pingouinots,
Le 09/04/2014 21:17, pl a écrit :
Une faille de sécurité dans l'implémentation du 'heartbeat' dans SSL/TLS et les serveurs deviennent bavards. ( même la radio en parle )...
Bruce Schneier 'LE' spécialiste mondialement reconnu a dit "Sur une échelle de 1 à 10, ceci est un 11".
- Pour ceux qui font tourner des serveurs (ou de applications )
utilisant openssl : Si vous avez des serveurs qui utilisent openssl version 1.0.1x ( x < 'g' ) , il est impératif de passer de toute urgence à openssl 1.0.1g ou bien de recompiler votre openssl sans le support du heartbeat.
- Pour tous les utilisateurs, il est conseillé de changer vos mots de
passe. Etant donné que la sécurité des serveurs a pu être compromise celles de vos données aussi.
[ Cette faille n'affecte pas ssh qui même s'il utiliise openssl n'utilise que la partie crypto et non la partie protocolaire ssl ]
Complément :
Et recommande tout un tas de mesures: changer ces certificats SSL, ses mots de passe (mais uniquement sur les sites dont on sait qu’il sont sûrs), etc.
Pour tester si un site est sûr: http://filippo.io/Heartbleed/
pour les sites déjà en httpS → URL:http://possible.lv/tools/hb/
Salutations ensoleillées,