April 2014 Archives

Fri Apr 11 13:49:24 CEST 2014

Heartbleed: best of des journalistes

Aaah, pas facile d'écrire un article sur un sujet aussi technique que le récent bug sur OpenSSL, baptisé Heartbleed, quand on est journaliste généraliste. Forcément, ça donne des erreurs et approximations dans l'article final, ce qui ne manque pas de nous font osciller entre le rire gras et le désespoir, nous, techniciens. Petit tour d'horizon du best of des journalistes sur Heartbleed. Avant de commencer, notons que je passerai sur les trop nombreuses occurrences Commençons soft. L'article du monde déclarait hier que le bug était nommé ainsi car il touchait le cœur d'OpenSSL. C'est faux, mais bon c'est mignon, et surtout ça a été corrigé depuis. Noble initiative, surtout que c'est la seule correction d'erreur flagrante que j'ai constatée. France: Le parisien: http://www.leparisien.fr/flash-actualite-high-tech/internet-importante-faille-dans-un-logiciel-utilise-par-la-moitie-des-sites-09-04-2014-3753811.php « Parmi les informations susceptibles d'êtres récupérées par les pirates figurent le code source (instructions pour le microprocesseur) » “ Among pieces of information likely to be fetched by pirates apear the source code (instructions for the microprocessor) ” Zataz: http://www.zataz.com/news/23352/openssl_-tls_-ssl_.html « Le problème vise la bibliothèque Heartbleed d'OpenSSL. » « Bilan, les protocoles SSL et TLS, qui sont les "sécurités" de l'Internet, deviennent le cheval de Troie de pirates ayant de gros, très gros moyens. » « OpenSSL 1.0.1 (non pacthé, ou 1.0.2) » « L'auteur de l'annonce, Cloudflare [...], a diffusé l'information avant que la moindre correction ne soit proposée pour la version 1.0.2. » Le Figaro : http://www.lefigaro.fr/secteur/high-tech/2014/04/09/01007-20140409ARTFIG00105-heartbleed-la-faille-de-securite-qui-a-touche-internet-pendant-deux-ans.php « bibliothèque de cryptage en libre accès OpenSSL » « la faille existerait depuis décembre 2011 et aurait été accrue par la mise à jour d'OpenSSL en mars 2012. » (Note: December is the date of the commit, March the date of the official release) « La bibliothèque de cryptage OpenSSL est utilisée [...] par des protocoles d'emails (SMTP, POP, IMAP) et des réseaux privés (VPN) » (Note: protocols don't use libraries, sorry) « Cependant, les nombreux sites restés fidèles au traditionnel système de cryptage SSL/TLS sont épargnés » « parmi les serveurs utilisant OpenSSL, seuls ceux équipés de la version 1.0.1 sont touchés. » « Il est difficile d'affirmer si les grands acteurs du web ont été attaqués ou non, mais un site tente de répondre à cette question. » « Fixed OpenSSL, la version corrigée du protocole, a été mise au point mais doit désormais être déployée. » http://www.lefigaro.fr/flash-eco/2014/04/09/97002-20140409FILWWW00026-importante-faille-de-securite-sur-internet.php « une importante faille dans un logiciel d'encodage » 20 Minutes : http://www.20minutes.fr/high-tech/1346637-20140409-heartbleed-faille-securite-fait-saigner-web « Un problème sur les protocoles utilisés pour protéger le trafic a été corrigé en urgence » http://www.gizmodo.fr/2014/04/09/heartbleed.html « En bref, SSL/TLS est une clé cryptographique qui permet au navigateur et au serveur de savoir mutuellement qui ils sont et s’ils peuvent ou non travailler main dans la main. » « Il y a pléthore de sites qui utilisaient la version branlante, mais comme ces attaques ne laissent aucune trace… il n’y a aucun moyen de savoir combien ont été réellement attaqués. Si vous êtes utilisateur de l’un d’eux, vos informations d’identification sont maintenant dans la nature. » Very best of comments: « Linux est un bon moyen d'aider des groupes comme Anonymous, pour qu'ils utilisent votre ordi pour leurs attaques. » « Retournez donc sur votre smartphones Android, utiliser des applis qui dans votre dos feront tout et n'importe quoi avec vos données perso, et qui représenteront de belles failles pour des personnes peu scrupuleuses. IPhone c'est plus simple, c'est Apple qui en profitera directement. »

Posted by Perdu | Permanent link | File under: security