Les chercheurs en sécurité ont révélé le bug " Heartbleed " cette semaine , une vulnérabilité qui affecte l'un des programmes les logiciels de cryptage les plus couramment utilisés dans le monde . Voici cinq choses que vous devez savoir sur le bug , y compris la façon de vous protéger .Qu'est-ce que c'est?
Le bug " Heartbleed " affecte OpenSSL , un logiciel open-source largement utilisé utilisé pour chiffrer les communications Internet .
David Chartier , directeur général de Codenomicon , la société finlandaise qui a aidé à découvrir le bug , a déclaré à l' Associated Press que OpenSSL est utilisé sur environ les deux tiers des serveurs web . OpenSSL est une variante de la technique de cryptage SSL / TLS .
Comment ça marche ?
Le bug a créé une ouverture dans le logiciel de cryptage , qui a quitté le trafic Web sur des serveurs utilisant OpenSSL ouverte à l'espionnage potentiel . Cela signifie que de grandes quantités d' informations personnelles sensibles, y compris des millions de mots de passe et numéros de cartes de crédit ont été involontairement laissé vulnérables au vol .
Dans un blog expliquant le bug , Codenomicon écrit: . " Le bug Heartbleed permet à n'importe qui sur Internet pour lire la mémoire des systèmes protégés par les versions vulnérables du logiciel OpenSSL , ce qui compromet les clés secrètes utilisées pour identifier les fournisseurs de services et à chiffrer le trafic , les noms et les mots de passe des utilisateurs et le contenu réel . Cela permet aux pirates d' écouter les communications , voler des données directement à partir des services et des utilisateurs et se faire passer pour des services et des utilisateurs " .
Selon Codenomicon et Google , les deux entreprises qui ont aidé à découvrir le bug , les attaquants peuvent même exploiter la faille de sécurité sans laisser aucune trace de leur présence .
Quand at-il été découvert ?
Alors que Codenomicon et Google divulgués connaissance du bug lundi , ils ont noté qu'il est passé inaperçu aussi longtemps que deux ans.
Est-ce grave ?
Bien que l'on ne sait pas encore si quelqu'un a effectivement exploité le bug , Codenomicon ne mâche pas ses mots lorsqu'il s'agit de la gravité " Heartbleed " est .
" Vous êtes susceptibles d'être affectés directement ou indirectement », a déclaré la compagnie . «OpenSSL est la bibliothèque la plus populaire cryptographique open source et TLS ( sécurité de la couche de transport ) la mise en œuvre utilisé pour crypter le trafic sur Internet . Votre site social , le site de votre entreprise , site de commerce , site amateur , site vous installez des logiciels ou même des sites exécutez par votre gouvernement pourrait être en utilisant OpenSSL vulnérable » .
Que puis-je faire?
Un correctif pour le bug a été libéré lundi , et il est maintenant à des sites Web et les fournisseurs de services d'installer la mise à jour et informer leurs clients , Codenomicon dit .
Toutefois, la société prévient que , aussi longtemps que les versions d'OpenSSL sont encore utilisés sans la mise à jour , la vulnérabilité peut encore être exploité .
Certains experts en sécurité ont commencé à recommander que les gens changent leurs mots de passe en ligne .
«Je voudrais changer chaque mot de passe partout car il est possible que quelque chose reniflé ", a déclaré Qualys Chief Technology Officer Wolfgang Kandek l'Associated Press.
Mais changer vos mots de passe ne fera rien jusqu'à ce que le bug est corrigé , selon Ben Sapiro , senior manager chez KPMG .
" Jusqu'à ce que le problème est résolu , ce n'est pas une bonne idée tout simplement parce qu'il permet aux gens qui agissent de façon criminelle pour voir les mots de passe , " at-il déclaré à CTV Nouvelles Channel le mercredi . " Donc, vous pourriez avoir une exposition encore et encore et encore jusqu'à ce que le problème soit résolu . "
Sapiro a ajouté qu'un bon conseil général de la sécurité est de changer régulièrement vos mots de passe , et à utiliser différents mots de passe pour différents comptes .
Dans un billet de blog mardi , service de blogging Tumblr de Yahoo a déclaré qu'il avait mis en œuvre la solution et n'a trouvé aucune preuve d'une quelconque violation . Il a également recommandé que les gens considèrent changer leurs mots de passe .
" Cela pourrait être une bonne journée pour appeler malades et prendre le temps de changer vos mots de passe partout - en particulier vos services de haute sécurité comme le courrier électronique , stockage de fichiers , et de la banque , qui peut avoir été compromis par ce bug . "
Comment déterminer si votre serveur est vulnérable
En utilisant le test en ligne : http://filippo.io/Heartbleed/
Ou via la ligne de commande , de vérifier la version de votre paquet OpenSSL ( en supposant que vous utilisez RPM ) :
rpm-qa | grep openssl
Doit retourner les versions suivantes ou plus
openssl- 1.0.1e - 16.el6_5.7.x86_64
openssl -devel - 1.0.1e - 16.el6_5.7.x86_64
Comment patcher les serveurs vulnérables :
Veuillez nous contacter et nous allons patcher votre serveur dédié au frais de 75 $ par heure.
mardi, avril 8, 2014