Découverte récemment, cette faille de sécurité affecte OpenSSL. Elle permet aux personnes capables de l’exploiter de récupérer sur un site « protégé » des données sensibles comme des mots de passe ou des numéros de carte bancaire… 🙁
Pire, Heartbleed permet de dérober les clés de cryptage des sites protégés (vous savez, le petit cadenas à côté de la barre d’adresse !) et de revenir plus tard se servir dans les données du site !
La parade ? Tester si un site est vulnérable à partir de ce site, mais il ne fonctionne pas forcément pour tous les sites. En cas de résultat positif, surtout ne saisissez pas vos identifiants /!\ . Les sites importants comme Yahoo ont corrigé la faille sur les serveurs principaux et recommandent de changer de mot de passe.
Quoiqu’il en soit, les sites touchés vont devoir renouveler leurs certificats de sécurité, ce qui va coûter de l’argent.
Si vous avez un Raspberry Pi et utilisez OpenSSL, faites les mises à jour le plus vite possible.
Que la framboise vous protège….
Merci à Lionel pour cette info très importante !
Sources :
- http://rue89.nouvelobs.com/2014/04/09/faille-securite-heartbleed-faut-rester-loin-dinternet-251366
- http://www.lefigaro.fr/secteur/high-tech/2014/04/09/01007-20140409ARTFIG00105-heartbleed-la-faille-de-securite-qui-a-touche-internet-pendant-deux-ans.php
- http://www.20minutes.fr/high-tech/1346637-20140409-heartbleed-faille-securite-fait-saigner-web
- http://www.raspberrypi.org/forums/viewtopic.php?f=66&t=74153
Pour vérifier votre version
dpkg -s openssl | grep Version
Vous devez avoir la version : Version: 1.0.1e-2+rvt+deb7u6
Si ce n’est pas que le cas faites
sudo apt-get update
sudo apt-get upgrade
Pensez aussi à régénérer vos certificats si vous voulez bien faire les choses !
source : http://forum.idleman.fr/discussion/345/faille-openssl
Merci pour cette précision 🙂
Cordialement
François
D’après ce que j’ai entendu c’est jusqu’à la version 1.0.1f que c’est compromis…
Bonjour Nioc
En fait ça frappe de la 1.0.1 à la 1.0.1f ainsi que 1.0.2-beta1.
Certains sites proposent un test des sites web en ligne comme https://www.ssllabs.com/ssltest/.
Cordialement
François