On 10/04/2014 23:54, Anne-Marie Dubois wrote:
Le 10/04/2014 14:08, Véronique Fritière a écrit :
Le 09/04/2014 21:17, pl a écrit :
Une faille de sécurité dans l'implémentation du 'heartbeat' dans SSL/TLS et les serveurs deviennent bavards. ( même la radio en parle )...
et le doute s'installe :
en anglais http://www.wired.com/2014/04/nsa-heartbleed/
Salutations ensoleillées,
Si j'ai bien compris, il ne faut pas changer les mots de passe et autres sans avoir vérifié l'intégrité des sites, sinon il vaut mieux attendre que le ménage soit fait.... Quant aux certificats, comment les vérifier ? Merci d'avance d'aider les bisuths AM Dubois
Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
Pour savoir si le site est vulnerable il y a un site online : http://filippo.io/Heartbleed/ , il existe aussi des programmes pour cela (voir la mailling liste dev de openssl ).
Si le site est vulnerable il faut attendre : - qu'il ne le soit plus Alors on peut faire un premier changement de mot de passe. mais le mieux et de faire un second changement de mot de passe lorsque le site renouvelle sa clef privée et pour cela on peut -en gros - vérifier que le début de date de validité de son certificat est après la fin de vulnérabilité.
La vulnerabiblité n'affecte pas directement le certificat donc il n'est pas possible de savoir si la clé privée a été compromise ou non. Si les certificats ont été renouvellés correctement à cause de la compromission de clé, le certificat précédant doit avoir été révoqué, mais c'est tout une histoire... Il est aussi possible que meme avec heartbleed la clé privée n'est pas été volée, pour des sites plus confidentiels, il faut quand même mener une attaque active et la répéter de nombreuses fois pour avoir la chance d'obtenir la clé privé du serveur dans les 64Ko obtenus du serveur, l'attaquant ne controlant pas ce qu'il y a dans la mémoire du serveur de façon deterministe.