Overblog Tous les blogs Top blogs Technologie & Science Tous les blogs Technologie & Science
Editer l'article Suivre ce blog Administration + Créer mon blog
MENU

Un petit blog sans prétention (enfin j'espère) sur ce qui retient mon attention en matière de sécurité informatique....mais pas que.

Publicité

Veille - HeartBleed, tous les détails (avec un titre comme cela, je devrais avoir des hits ;-)

 


Petite compilation d'articles sur "LA" faille du moment dont tout le monde parle sans en avoir exactement les détails techniques!!??!!
Personnellement, je n'ai toujours pas compris comment exploiter la faille qui viendrait d'une extension activée à la compilation dans OpenSSL.
Si j'étais paranoïac, je dirais que c'est une fausse faille tout ça pour qu'on mette à jour nos certificats et que l'on active PFS avec pour le coup une faille incluse exploitable par la NSA.
Mais je ne suis pas comme cela, la dernière fois que j'ai ajouté de l'aléa dans une fonction cryptographique, cela s'est bien passé. ;-)

Une énorme faille de sécurité dans la plupart des connexions web chiffrées
http://www.01net.com/editorial/617778/une-enorme-faille-de-securite-dans-la-plupart-des-connexions-web-chiffrees/

    'Heartbleed' bug in OpenSSL puts encrypted communications at risk
 http://news.hitb.org/content/heartbleed-bug-openssl-puts-encrypted-communications-risk
 http://www.pcworld.com/article/2140920/heartbleed-bug-in-openssl-puts-encrypted-communications-at-risk.html

    Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping
 http://news.hitb.org/content/critical-crypto-bug-openssl-opens-two-thirds-web-eavesdropping
 http://arstechnica.com/security/2014/04/critical-crypto-bug-in-openssl-opens-two-thirds-of-the-web-to-eavesdropping/

    OpenSSL Fixes Serious TLS Vulnerability
    http://threatpost.com/openssl-fixes-tls-vulnerability/105300

    Faille Heartbleed : testez la vulnérabilité de vos services en ligne
 http://www.01net.com/editorial/617900/faille-heartbleed-testez-la-vulnerabilite-de-vos-services-en-ligne/

    Faille SSL, et si la NSA était au courant !
    http://www.zataz.com/news/23352/openssl_-tls_-ssl_.html

    Difficulty of Detecting OpenSSL Heartbleed Attacks Adds to Problem
 http://threatpost.com/difficulty-of-detecting-openssl-heartbleed-attacks-adds-to-problem/105354

    Heartbleed, la faille SSL qui fait mal
 http://magazine.qualys.fr/menaces-alertes/heartbleed-ssl-heartbeat/

    EFF calls for rapid mitigation of Heartbleed internet bug
 http://www.computerweekly.com/news/2240217841/EFF-calls-for-rapid-mitigation-of-Heartbleed-internet-bug

Il n'y a qu'à tester :
- http://filippo.io/Heartbleed/
- http://possible.lv/tools/hb/
- https://www.ssllabs.com/ssltest/analyze.html
En y regardant de plus près, la description sur https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160 et sur http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160 annoncent un score medium de faille, une exploitabilité aisée. Au final, je ne sais quoi penser ?
Bonne lecture
Tristan
Publicité
Retour à l'accueil
Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article