Polyamour.info

Les messages appartiennent à leurs auteurs. Nous n'en sommes pas responsables.

Merci de consulter notre charte de discussion pour connaître les règles qui régissent les conversations sur ce site.

[Le site] Faille Heartbleed : don't panic mais changez quand même de mot de passe ;-)

Polyamour.info
#
Profil

bohwaz

le samedi 12 avril 2014 à 06h11

Hello,

Lundi a été découverte une faille dans la librairie OpenSSL, qui permettait à n'importe qui de lire au hasard 64Ko de la mémoire d'un serveur HTTPS.

La faille date de deux ans mais n'a été annoncée que lundi. En pratique ça veut dire que tous les serveurs HTTPS qui utilisent OpenSSL (des millions) permettaient de lire en clair les données chiffrées qui passaient par : numéros de CB, mots de passe, contenu des mails, etc.

C'est probablement l'une des failles de sécurité informatique les plus graves de ces dernières années, et des pistes semblent indiquer que des entreprises privées et agences de renseignement en ont profité pendant deux ans.

Plus d'infos : www.pcinpact.com/news/86941-heartbleed-openssl-et-... et https://www.schneier.com/blog/archives/2014/04/hea...

Pour situer la gravité du truc, lundi on pouvait encore espionner yahoo.com et voir les mots de passe défiler par milliers…

Pour PA.info j'ai fait les mises à jour de sécurité lundi et changé le certificat HTTPS, donc plus rien ne peut passer. Par contre il est possible que des infos aient filtré pendant ces deux ans, impossible de le savoir.

Techniquement le risque est un peu plus faible sur PA.info car le mot de passe est chiffré en javascript avant d'être envoyé au serveur. Mais si vous avez désactivé javascript ou changé de mot de passe, il a alors été transmis au serveur et il existe un risque.

Par prudence je vous recommande quand même de changer de mot de passe sur PA.info, même si vous n'utilisiez pas la connexion HTTPS pour vous connecter au site.

Je vous recommande aussi de changer les mots de passe de vos messageries, banques, comptes amazon, paypal, etc. Oui tout ça.

#

(compte clôturé)

le samedi 12 avril 2014 à 14h09

En pratique, tu as une idee du pourcentage de gens qui se connectent a ce site dans sa version chiffree ?

#
Profil

bohwaz

le dimanche 13 avril 2014 à 00h29

Non je ne fais pas de stats sur le site, j'en ai fais en décembre et janvier pour les histoires de pub mais rien sur le https, mais je pense que c'est vraiment minimal.

#
Profil

bohwaz

le dimanche 13 avril 2014 à 03h34

À noter que même les gens qui utilisaient une connexion non chiffrée sont touchés : en effet le faille permettait de voir des données dans la mémoire du serveur web. Mémoire qui est partagée entre les connexions sécurisées et non sécurisées…

#

(compte clôturé)

le dimanche 13 avril 2014 à 12h03

bohwaz
À noter que même les gens qui utilisaient une connexion non chiffrée sont touchés : en effet le faille permettait de voir des données dans la mémoire du serveur web. Mémoire qui est partagée entre les connexions sécurisées et non sécurisées…

Ha, j'avais pas bien suivi l'affaire, du coup j'avais pas retenu ca. Bon a savoir. Merci. :)

#
Profil

bohwaz

le dimanche 13 avril 2014 à 15h36

Ça doit dépendre des serveurs web, et certains sites font tourner les sites en https sur des machines différentes des sites en http, donc le problème ne se pose pas. Mais ici l'apache est configuré pour faire du https et du http en même temps, donc tout est partagé en mémoire ensuite.

Répondre

Chercher dans cette discussion

Autres discussions sur ce thème :

Espace membre

» Options de connexion