Danger confirmé Heartbleed ouvre vraiment les clés de la cryptographie aux pirates
Les nouvelles de Cloudflare vendredi indiquent que le débat est terminé sur la question de savoir si la nouvelle vulnérabilité OpenSSL Heartbleed pourrait être utilisée pour obtenir des clés de cryptage privées de serveurs et de sites Web vulnérables. Cloudflare a confirmé que des tests indépendants effectués par des tiers ont révélé que c'était effectivement le cas. Les clés de cryptage privées sont à risque.
MakeUseOf avait précédemment signalé le bogue OpenSSL. Un bogue massif dans OpenSSL met une grande partie des risques liés à Internet. Un bogue massif dans OpenSSL met une grande partie des risques liés à Internet. en ligne, vous êtes un peu surpris. Lire la suite la semaine dernière et a indiqué à ce moment-là que la question de savoir si les clés de chiffrement étaient ou non vulnérables était toujours d'actualité, car Adam Langley, expert en sécurité chez Google, n'a pas pu confirmer cette information..
Cloudflare a initialement publié un “Défi Heartbleed” le vendredi, la configuration d’un serveur nginx avec l’installation vulnérable d’OpenSSL en place et le défi lancé à la communauté des hackers d’essayer d’obtenir la clé de cryptage privée du serveur. Les hackers en ligne ont sauté pour relever le défi, et deux personnes ont réussi le vendredi et plusieurs autres “les réussites” suivi. Chaque tentative réussie d'extraction de clés de chiffrement privées via uniquement la vulnérabilité Heartbleed ajoute à la masse croissante de preuves selon lesquelles l'impact de Hearbleed pourrait être pire que prévu initialement..
La première soumission est arrivée le même jour que le défi a été lancé par un ingénieur logiciel du nom de Fedor Indutny. Fedor a réussi à frapper le serveur avec 2,5 millions de requêtes.
La deuxième communication a été envoyée par Ilkka Mattila, du Centre national de la cybersécurité à Helsinki, qui n'a eu besoin que d'environ cent mille demandes pour obtenir les clés de cryptage..
Après l'annonce des deux premiers lauréats, Cloudflare a mis à jour son blog samedi avec deux autres gagnants confirmés: Rubin Xu, étudiant au doctorat à l'Université de Cambridge, et Ben Murphy, chercheur en sécurité. Les deux personnes ont prouvé qu’elles étaient capables de retirer la clé de chiffrement privée du serveur et Cloudflare a confirmé que toutes les personnes qui avaient réussi à surmonter le défi l’avaient fait en utilisant rien de plus que l’exploit Heartbleed..
Les dangers posés par un pirate informatique qui obtient la clé de cryptage sur un serveur sont très répandus. Mais si vous êtes inquiet?
Comme Christian l'a récemment souligné, de nombreux médias méditent la menace posée par Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité? En savoir plus sur la vulnérabilité, il peut donc être difficile d'évaluer le danger réel.
Ce que vous pouvez faire: Déterminez si les services en ligne que vous utilisez sont vulnérables (Christian a fourni plusieurs ressources en cliquant sur le lien ci-dessus). S'ils le sont, évitez d'utiliser ce service jusqu'à ce que vous sachiez que les serveurs ont été corrigés. Ne vous précipitez pas pour changer vos mots de passe, car vous ne fournissez que plus de données transmises aux pirates pour décrypter et obtenir vos données. Lay low, surveillez le statut des serveurs, et quand ils ont été corrigés, entrez et changez immédiatement vos mots de passe.
Source: Ars Technica | Crédit d'image: Silhouette d'un pirate informatique de GlibStock à Shutterstock
Explorez plus sur: Cryptage, Sécurité en ligne.