Bienvenue sur Smartphone France Android Edition
Actuellement, 67 visiteurs en ligne
Vous utilisez un bloqueur de publicités ? Félicitations :)
Actualités du monde Android

Retour au sommaire du site

  WEB : Le petit cadenas ne vous protègeait de rien du tout !
 Publié le 10/04/2014 à 14:30 - 10 commentaires ...

Alors qu'on nous vantait les mérites de "ce petit cadenas" présent sur les sites WEB utilisant le protocole SSL/TLS qui était censé nous protéger contre toute tentative de piratage lors que votre ordinateur communiquait avec ces sites (Banques, eCommerce, Facebook, sites gouvernementaux comme les impôts, ...) on apprend aujourd'hui que le logiciel le plus utilisé au monde qui assure cette fonctionnalité contient une énorme faille de sécurité depuis plus de 2 ans !

Le module concerné, Open SSL est effet victime du Heartbleed Bug qui fait que des personnes malveillantes peuvent arriver à récupérer certaines données sensibles au sein de la mémoire même des serveurs qui l'utilisent ! Découverte par une équipe de chez Google et de la société américaine Codenomicon, cette faille est présente depuis plus de 2 ans et concerne plus de 50% des services en ligne utilisant ce protocole SSL/TLS.

Si la présence de bug est malheureusement incontournable, cette situation devrait rappeler à certains les limites de l'Open Source qui est certes une bonne chose mais qui du fait de sa gratuité relative est installée par le plus grand nombre pensant naïvement que OpenSource est un gage de sécurité. Que nenni ! Que des logiciels soient OpenSource ou protégés ce qui assure leur sécurité c'est le sérieux des personnes qui en sont en charge, sur ce coup on ne va pas leur dire bravo.

Même si la faille est importante en ce qui concerne les utilisateurs que nous sommes le risque de se faire pirater ses comptes en ligne est très limité. La faille ne permettant que de lire le contenu mémoire d'un ordinateur ou de "sniffer" le trafic normalement crypté il faudrait être vraiment malchanceux pour s'être fait pirater son mot de passe par exemple. Ça peut arriver mais le risque reste tout de même assez faible. Dans le doute il est recommandé de ne pas trop se connecter en ce moment sur certains sites en attendant qu'ils fassent les mises à jour nécessaires (Les plus gros comme Google ou Facebook ont déjà pris toutes les mesures nécessaires) puis d’ici quelques jours de changer ses mots de passe par sécurité.


 10/04/2014 14:42:58 - Christophe - Le Webmaster ...
A noter que ce bug ne touchant que le composant OpenSSL, les serveurs Windows ne l'utilisant pas ils ne risquent rien. Une situation qui me fait sourire car combien de fois je me suis fait "insulter" pour préférer les produits Microsoft pour par exemple permettre à Smartphone France de fonctionner. L'argument était : Microsoft ce n'est pas sécurisé, prend plutôt Linux !

Je ne vais pas relancer cette guerre stérile Linux / Windows mais je voulais juste souligner que les bugs et les failles ne sont pas réservées à un système mais concernent tout le monde. Contrairement à ce que certains croient, l'OpenSource ne protège de rien et malgré le fait que la terre entière ait accès au code d'un programme, des grosses failles comme celle ci qui dure depuis plus de 2 ans peuvent exister.
 10/04/2014 16:14:21 - Victorinox
il y a une application android pour voir si votre mobile est touché par se problème heartbleed detector
 10/04/2014 16:17:40 - Victorinox
je precise pour ceux qui aurait un doute sur le concepteur de l'application , qu'il est le meme que Lookout antivirus , recommandé par Orange
 10/04/2014 16:53:08 - Christophe - Le Webmaster ...
Merci pour l'info :)

Publié via l'application Smartphone France pour Android ou Windows/Windows Phone ...
 10/04/2014 17:58:51 - enerhpozyks
Whoa. Ça c'est du post de hater.

C'est amusant que tu pointes les "limites de l'open source" alors que c'est justement parce que c'est un logiciel open source que la faille a été trouvée.
Accessoirement, ce n'est pas la seule implémentation d'OpenSSL et les autres n'avaient pas ledit bug (citons par exemple NSS de Mozilla).

Quant au commentaire sur Microsoft.... La différence c'est que Microsoft laisse volontairement des trous de sécurité pour que certains "partenaire" (non, j'ai pas dit NSA) puissent obtenir certaines informations. Ils ont été plusieurs fois victime de trous de sécurité béants dans leur serveur web qui permettait a n'importe qui d'exécuter du code a distance en tant qu'administrateur, sans compétences techniques particulières. A tel point que pendant des années, microsoft.com tournait sous Apache (un comble).

Mais, oui, le côté ouvert d'un code source ne signifie pas qu'il soit infaillible. Simplement qu'il y a plus de chance que quelqu'un trouve un bug et le corrige.
 10/04/2014 18:04:23 - OM First 09
Depuis 2 ans?!

Publié via l'application Smartphone France pour Android ou Windows/Windows Phone ...
 10/04/2014 22:25:16 - Christophe - Le Webmaster ...
@enerhpozyks : 2 ans pour trouver une faille ? C'est ça la richesse de l'OpenSource ? Etre supporter d'une philosophie ne doit pas conduire à la malhonnêteté intellectuelle ! Après critiquer Microsoft sur des suppositions est toujours facile. C'est un raccourci comme dire que Windows est synonyme d'écran bleu alors que ça fait des années que je n'en ai pas vu !
 11/04/2014 07:54:04 - Enerhpozyks
Tu n'a visiblement pas grande connaissance dans le développement de gros projets logiciels. Certaines failles mettent plus longtemps encore a sortir. Certaines sont même découvertes après avoir été corrigées. Parfois, elles ne sont toujours pas corrigées malgré le fait qu'elles aient été découvertes. Oui, c'est malheureux, mais ça arrive et c'est pire encore sur des failles aussi critiques, surtout quand leur dangerosité vient d'un développeur qui a décidé de contourner des sécurités a.
Et c'est moi qui suis intellectuellement malhonnête alors que c'est toi qui rage sur un modèle de développement à cause d'une faille sur UN logiciel ?

Pour conclure, je n'ai fait AUCUNE supposition sur Windows. Voici quelques pointeurs vers ce que j'ai spécifiquement énoncé :
http://www.giac.org/paper/gcih/61/iis-rds-vulnerability/100422
http://pro.clubic.com/legislation-loi-internet/donnees-personnelles/actualite-571836-prism-microsoft-aide-nsa-contourner-chiffrement.html
http://gizmodo.com/confirmed-nsa-paid-google-microsoft-others-millions-1188615332
 11/04/2014 07:55:06 - Enerhpozyks
Oups, j'ai oublié la fin d'un paragraphe :
"de contourner des sécurités a causes de problèmes de performance sur UNE plateforme."
 11/04/2014 10:24:19 - Christophe - Le Webmaster ...
@Enerhpozyks : Merci à toi de vouloir parfaire mes connaissances ;)

Dorénavant pour publier des commentaires il faut posséder un compte sur le Forum du site et s'authentifier

Créer un compte sur le forum du site

S'authentifier sur le site avec son compte personnel




Retour à la page principale du site