On 10/04/2014 23:54, Anne-Marie Dubois wrote:
Le 10/04/2014 14:08, Véronique Fritière a écrit :
Le 09/04/2014 21:17, pl a écrit :
Une faille de sécurité dans l'implémentation
du 'heartbeat' dans
SSL/TLS
et les serveurs deviennent bavards.
( même la radio en parle )...
et le doute s'installe :
en anglais
http://www.wired.com/2014/04/nsa-heartbleed/
Salutations ensoleillées,
Si j'ai bien compris, il ne faut pas changer les mots de passe et
autres sans avoir vérifié l'intégrité des sites,
sinon il vaut mieux attendre que le ménage soit fait....
Quant aux certificats, comment les vérifier ?
Merci d'avance d'aider les bisuths
AM Dubois
_______________________________________________
Linux06 mailing list
Linux06(a)lists.linux-azur.org
https://lists.linux-azur.org/mailman/listinfo/linux06 Pour savoir si le site est
vulnerable il y a un site online :
http://filippo.io/Heartbleed/ , il existe aussi des programmes pour cela
(voir la mailling liste dev de openssl ).
Si le site est vulnerable il faut attendre :
- qu'il ne le soit plus
Alors on peut faire un premier changement de mot de passe.
mais le mieux et de faire un second changement de mot de passe lorsque
le site renouvelle sa clef privée et pour cela on peut -en gros -
vérifier que le début de date de validité de son certificat est après
la fin de vulnérabilité.
La vulnerabiblité n'affecte pas directement le certificat donc il n'est
pas possible de savoir si la clé privée a été compromise ou non.
Si les certificats ont été renouvellés correctement à cause de la
compromission de clé, le certificat précédant doit avoir été révoqué,
mais c'est tout une histoire...
Il est aussi possible que meme avec heartbleed la clé privée n'est pas
été volée, pour des sites plus confidentiels, il faut quand même mener
une attaque active et la répéter de nombreuses fois pour avoir la chance
d'obtenir la clé privé du serveur dans les 64Ko obtenus du serveur,
l'attaquant ne controlant pas ce qu'il y a dans la mémoire du serveur de
façon deterministe.