Heartbleed, Le mega bug dans OpenSSL

heartbleed

Ce 8 avril a été annoncé une grosse faille de sécurité dans le logiciel OpenSSL utilisé par à peu prés tout le monde pour sécuriser à peu prés tout ce qui transit sur le net.

Ce bug découvert par un ingénieur de chez Google, baptisé « Heartbleed » (Cœur qui saigne) permet à un pirate mal attentionné de récupérer des données sensibles comme les mots de passe et identifiants, mais aussi les clés utilisées pour le cryptage des données, donc autant dire le beurre, l’argent du beurre et la crémière… tout ça possible grâce à un bug de l’application donnant le moyen à l’assaillant d’effectuer une opération entrainant une « fuite mémoire » sur le client ou le serveur.

Il est dors et déjà disponible un correctif dans la version 1.0.2-beta2 du logiciel, cependant il semble que cette faille révélée aujourd’hui est disponible sur les serveurs depuis un à deux ans, c’est à dire environ les 2/3 des serveurs que vous utilisez aujourd’hui pour effectuer vos paiements en ligne. Et avant que toutes les compagnies aient mises à jour leurs logiciels ainsi que révoquées toutes leurs clés compromises, il va se passer un certain temps…

source: news.ycombinator.com

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *