[Le site] Faille Heartbleed : don't panic mais changez quand même de mot de passe ;-)
#

bohwaz
le samedi 12 avril 2014 à 06h11
Hello,
Lundi a été découverte une faille dans la librairie OpenSSL, qui permettait à n'importe qui de lire au hasard 64Ko de la mémoire d'un serveur HTTPS.
La faille date de deux ans mais n'a été annoncée que lundi. En pratique ça veut dire que tous les serveurs HTTPS qui utilisent OpenSSL (des millions) permettaient de lire en clair les données chiffrées qui passaient par : numéros de CB, mots de passe, contenu des mails, etc.
C'est probablement l'une des failles de sécurité informatique les plus graves de ces dernières années, et des pistes semblent indiquer que des entreprises privées et agences de renseignement en ont profité pendant deux ans.
Plus d'infos : www.pcinpact.com/news/86941-heartbleed-openssl-et-... et https://www.schneier.com/blog/archives/2014/04/hea...
Pour situer la gravité du truc, lundi on pouvait encore espionner yahoo.com et voir les mots de passe défiler par milliers…
Pour PA.info j'ai fait les mises à jour de sécurité lundi et changé le certificat HTTPS, donc plus rien ne peut passer. Par contre il est possible que des infos aient filtré pendant ces deux ans, impossible de le savoir.
Techniquement le risque est un peu plus faible sur PA.info car le mot de passe est chiffré en javascript avant d'être envoyé au serveur. Mais si vous avez désactivé javascript ou changé de mot de passe, il a alors été transmis au serveur et il existe un risque.
Par prudence je vous recommande quand même de changer de mot de passe sur PA.info, même si vous n'utilisiez pas la connexion HTTPS pour vous connecter au site.
Je vous recommande aussi de changer les mots de passe de vos messageries, banques, comptes amazon, paypal, etc. Oui tout ça.
#

(compte clôturé)
le samedi 12 avril 2014 à 14h09
En pratique, tu as une idee du pourcentage de gens qui se connectent a ce site dans sa version chiffree ?
#

bohwaz
le dimanche 13 avril 2014 à 00h29
Non je ne fais pas de stats sur le site, j'en ai fais en décembre et janvier pour les histoires de pub mais rien sur le https, mais je pense que c'est vraiment minimal.
#

bohwaz
le dimanche 13 avril 2014 à 03h34
À noter que même les gens qui utilisaient une connexion non chiffrée sont touchés : en effet le faille permettait de voir des données dans la mémoire du serveur web. Mémoire qui est partagée entre les connexions sécurisées et non sécurisées…
#

(compte clôturé)
le dimanche 13 avril 2014 à 12h03
bohwaz
À noter que même les gens qui utilisaient une connexion non chiffrée sont touchés : en effet le faille permettait de voir des données dans la mémoire du serveur web. Mémoire qui est partagée entre les connexions sécurisées et non sécurisées…
Ha, j'avais pas bien suivi l'affaire, du coup j'avais pas retenu ca. Bon a savoir. Merci. :)
#

bohwaz
le dimanche 13 avril 2014 à 15h36
Ça doit dépendre des serveurs web, et certains sites font tourner les sites en https sur des machines différentes des sites en http, donc le problème ne se pose pas. Mais ici l'apache est configuré pour faire du https et du http en même temps, donc tout est partagé en mémoire ensuite.