Un petit blog sans prétention (enfin j'espère) sur ce qui retient mon attention en matière de sécurité informatique....mais pas que.
Tout d'abord, un peu de recul avec de l'humour, merci XKCD.
Sinon, il y a aussi des articles plus complets qui commencent à venir. Après la panique, un peu de réflexion....
Des informations sur l'étendue à d'autres équipements, même si on pouvait s'en douter...................
La faille Heartbleed concerne les produits réseaux de Cisco et Juniper
http://pro.01net.com/editorial/618024/la-faille-heartbleed-concerne-les-produits-reseaux-de-cisco-et-juniper/
HeartBleed : les fabricants de hardware engagés dans une course au patch
http://magazine.qualys.fr/produits-technologies/heartbleed-hardware-vpn-ssl/
Did the Heartbleed bug leak your Yahoo password?
http://grahamcluley.com/2014/04/heartbleed-bug-leak-yahoo-password/
................Des vilains méchants (surement des chinois ou la RSA qui commencent à en profiter et publient les sites vulnérables ..............
Hackers Zero In on Heartbleed Vulnerability
http://www.tripwire.com/state-of-security/top-security-stories/hackers-zero-in-on-heartbleed-vulnerability/
............Des questions de juristes..........
Running Heartbleed Health Checks May be Illegal
http://www.tripwire.com/state-of-security/top-security-stories/running-heartbleed-health-checks-may-be-illegal/
..........................Une explication pour aller vite, pas nécessairement exacte si l'on se réfère à l'article suivant ..........................
Tout savoir sur l’énorme faille Heartbleed, en 7 questions
http://www.01net.com/editorial/618076/tout-savoir-sur-l-enorme-faille-heartbleed-en-7-questions/
....................Une revue critique ......................................
Stealing Private SSL Keys Using Heartbleed Difficult, Not Impossible
http://threatpost.com/stealing-private-ssl-keys-using-heartbleed-difficult-not-impossible/105413
....................Une petite idée de comment s'organiser pour répondre à la problématique à la maison et au bureau, le dernier article est clair et bien structuré.............................
The Heartbleed Hit List: The Passwords You Need to Change Right Now
http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/
The Heartbleed OpenSSL flaw is worse than you think
http://news.hitb.org/content/heartbleed-openssl-flaw-worse-you-think
http://www.infoworld.com/d/security/the-heartbleed-openssl-flaw-worse-you-think-240231
Au final, il est conseillé de changer de mot de passe, mais cela devrait être une action régulière. Et il faudrait également utiliser des authentifications à double facteur, vous savez, celles qui existent depuis déjà 2/3 ans chez Google et d'autres acteurs du marché. SI vous avez déjà cela en place, HeartBleed peut (presque) vous laisser de glace ;-))
Bonne lecture
Tristan