Ah, je ne savais pas que le code d'OpenSSL était si terrible que cela oO

Petit compte rendu sur la fameuse faille OpenSSL.

Contrairement à ce que j'avais dit maladroitement, la faille Heartbleed est non seulement exploitée, mais permet de récupérer la clé privée du serveur ! Avec la clé privée en main, vous pouvez décoder TOUTES les trames émises précédemment, ainsi que celles actuelles et futures (sauf si la clé est changée entre temps).

Donc la faille a des conséquences désastreuses pour la sécurité : mettre à jour la bibliothèque OpenSSL ne suffit pas, il faut également révoquer ses anciennes clés et en générer de nouvelles !

Voici quelques liens pour étayer mes propos :

• https://www.cloudflarechallenge.com/heartbleed ;
• http://blog.cloudflare.com/the-results-of-the-cloudflare-challenge ;
• https://news.ycombinator.com/item?id=7576389

Merci à Pierre, un lecteur assidu, de m'avoir signalé ce fait et pour les liens ;)

Certes, mais faut-il encore que la faille ait été exploitée !

EDIT : Je n'ai rien dit, la faille a été exploitée au-delà de ce qu'on pouvait penser, allant jusqu'à permettre la récupération des clés privées du serveur : http://links.kevinvuilleumier.net/?wy6O9Q

Du gros n'importe quoi -_-

Certes, de voir apparaître des "torchons" dans cet article ne m'étonnent pas, mais de voir Zataz se tromper ainsi !

Et pour mettre un court à certaines peurs, je cite : "Certes, le bug est critique, mais récupérer des informations à partir de celui-ci n'est pas trivial : elles doivent être en mémoire. Si je ne me suis pas connecté à un site depuis un moment, il est assez peu probable qu'un attaquant potentiel ait pu récupérer quoi que ce soit."

Pour tester si un site particulier est vulnérable à la faille HeartBleed (faille dans certaines versions d'OpenSSL).

Bien, je constate que ma banque ni mon école ne sont impactés, c'est déjà ça.