Ah, je ne savais pas que le code d'OpenSSL était si terrible que cela oO

Contrairement à ce que j'avais dit maladroitement, la faille Heartbleed est non seulement exploitée, mais permet de récupérer la clé privée du serveur ! Avec la clé privée en main, vous pouvez décoder TOUTES les trames émises précédemment, ainsi que celles actuelles et futures (sauf si la clé est changée entre temps).

Donc la faille a des conséquences désastreuses pour la sécurité : mettre à jour la bibliothèque OpenSSL ne suffit pas, il faut également révoquer ses anciennes clés et en générer de nouvelles !

Voici quelques liens pour étayer mes propos :

- https://www.cloudflarechallenge.com/heartbleed ;
- http://blog.cloudflare.com/the-results-of-the-cloudflare-challenge ;
- https://news.ycombinator.com/item?id=7576389

Merci à Pierre, un lecteur assidu, de m'avoir signalé ce fait et pour les liens ;)

Du gros n'importe quoi -_-

Certes, de voir apparaître des "torchons" dans cet article ne m'étonnent pas, mais de voir Zataz se tromper ainsi !

Et pour mettre un court à certaines peurs, je cite : "Certes, le bug est critique, mais récupérer des informations à partir de celui-ci n'est pas trivial : elles doivent être en mémoire. Si je ne me suis pas connecté à un site depuis un moment, il est assez peu probable qu'un attaquant potentiel ait pu récupérer quoi que ce soit."