Une grave faille d'OpenSSL touche les sites web, les NAS, le Bitcoin et les données personnelles |
• 10 Avril 2014 à 17h33 • 16431 vues
Une importante faille de sécurité a été découverte dans OpenSSL, la bibliothèque open-source qui implémente les protocoles SSL et TLS dans certains systèmes d'exploitation comme Linux, OS X ou encore iOS et Android. Cette faille est présente depuis 2 ans et pourrait permettre de subtiliser des données personnelles censées être chiffrées. Ce système de chiffrement est utilisé par la plupart des sites web pour les connexions HTTPS. Cette faille pourrait donc être très dangereuse pour les particuliers et les professionnels.
La faille est connue sous le nom de Heartbleed et un site a été mis en place pour expliquer son fonctionnement ainsi que les risques encourus par l'utilisation des versions d'OpenSSL touchées par la faille (de la 1.0.1 à la 1.0.1f). Les personnes possédant un serveur sous Linux sont donc invités à mettre à jour OpenSSL vers la version 1.0.1g dépourvue de ce "bug". Sinon, les pirates peuvent accéder à la mémoire du serveur et lire les informations transmises vers et depuis les ordinateurs des utilisateurs du site en question. Les pirates peuvent également récupérer les clefs privés et se reconnecter au serveur même si la faille a été colmatée. Il faut donc mettre à jour les certificats SSL pour changer la clef. Il n'y a aucun moyen pour le moment de savoir si la faille a été utilisée par des pirates car son utilisation ne laisse pas de trace, contrairement à Pascal aux waters.
Les sites web ont été les principaux touchés et on peut imaginer les conséquences néfastes si cette faille a été utilisée sur des webmails ou encore des sites bancaires. Mais des NAS sont également touchés par cette faille du fait du serveur web intégré en leur sein. C'est le cas de certains Synology, Asustor ou Thecus. Synology prépare une mise à jour à destination des versions 4.2, 4.3 et 5.0 du DSM. Du côté des cryptomonnaies, le protocole Bitcoin est également touché et a été mis à jour. Un site a été créé pour tester la vulnérabilité de vos visites sur Internet. Et vu que le Comptoir tourne sous une base de BX, il n'y a pas de soucis à se faire. (Source : PCI)
