Liens en bazar2014-04-15T15:05:50+02:00https://links.kevinvuilleumier.net/https://links.kevinvuilleumier.net/https://links.kevinvuilleumier.net/Heartbleed, une semaine plus tard | Sam & Max: Python, Django, Git et du culhttps://links.kevinvuilleumier.net/?XwS6aA2014-04-15T15:05:50+02:00Petit compte rendu sur la fameuse faille OpenSSL.<br>(<a href="https://links.kevinvuilleumier.net/?XwS6aA">Permalink</a>)Faille Heartbleed : clés privées compromises !https://links.kevinvuilleumier.net/?wy6O9Q2014-04-13T10:34:13+02:00Contrairement à ce que j'avais dit maladroitement, la faille Heartbleed est non seulement exploitée, mais permet de récupérer la clé privée du serveur ! Avec la clé privée en main, vous pouvez décoder TOUTES les trames émises précédemment, ainsi que celles actuelles et futures (sauf si la clé est changée entre temps).<br />
<br />
Donc la faille a des conséquences désastreuses pour la sécurité : mettre à jour la bibliothèque OpenSSL ne suffit pas, il faut également révoquer ses anciennes clés et en générer de nouvelles !<br />
<br />
Voici quelques liens pour étayer mes propos :<br />
<br />
- <a href="https://www.cloudflarechallenge.com/heartbleed" rel="nofollow">https://www.cloudflarechallenge.com/heartbleed</a> ;<br />
- <a href="http://blog.cloudflare.com/the-results-of-the-cloudflare-challenge" rel="nofollow">http://blog.cloudflare.com/the-results-of-the-cloudflare-challenge</a> ;<br />
- <a href="https://news.ycombinator.com/item?id=7576389" rel="nofollow">https://news.ycombinator.com/item?id=7576389</a><br />
<br />
Merci à Pierre, un lecteur assidu, de m'avoir signalé ce fait et pour les liens ;)<br>(<a href="https://links.kevinvuilleumier.net/?wy6O9Q">Permalink</a>)Heartbleed : faut-il changer ses mots de passe ? (maj)https://links.kevinvuilleumier.net/?iks_PA2014-04-12T11:26:12+02:00Certes, mais faut-il encore que la faille ait été exploitée !<br />
<br />
EDIT : Je n'ai rien dit, la faille a été exploitée au-delà de ce qu'on pouvait penser, allant jusqu'à permettre la récupération des clés privées du serveur : <a href="http://links.kevinvuilleumier.net/?wy6O9Q" rel="nofollow">http://links.kevinvuilleumier.net/?wy6O9Q</a><br>(<a href="https://links.kevinvuilleumier.net/?iks_PA">Permalink</a>)Heartbleed : petit best of des journalistes - LinuxFr.orghttps://links.kevinvuilleumier.net/?zJFcew2014-04-11T12:53:58+02:00Du gros n'importe quoi -_-<br />
<br />
Certes, de voir apparaître des "torchons" dans cet article ne m'étonnent pas, mais de voir Zataz se tromper ainsi !<br />
<br />
Et pour mettre un court à certaines peurs, je cite : "Certes, le bug est critique, mais récupérer des informations à partir de celui-ci n'est pas trivial : elles doivent être en mémoire. Si je ne me suis pas connecté à un site depuis un moment, il est assez peu probable qu'un attaquant potentiel ait pu récupérer quoi que ce soit."<br>(<a href="https://links.kevinvuilleumier.net/?zJFcew">Permalink</a>)