Comment la faille a-t-elle été découverte ?
C’est un ingénieur de Google Security, Neel Mehta, qui a découvert l’existence de la faille, probablement en menant une analyse de sécurité poussée.

Une équipe d’ingénieurs de l’entreprise de sécurité informatique Codenomicon aurait également trouvé la faille.

4
Est-ce vraiment grave ?
Plutôt, oui. Comme on l’a vu précédemment, des données sensibles peuvent être extraites par une personne qui exploiterait cette faille. Or, le logiciel en question est utilisé par deux sites sur trois. Une proportion à relativiser cependant : toutes les versions d’OpenSSL ne contiennent pas la faille. Certaines entreprises de sécurité parlent tout de même de millions de systèmes vulnérables.

Plusieurs sites importants ont par ailleurs confirmé avoir été affectés, tels Imgur, OkCupid, Flickr, Redtube... Yahoo semble être le seul géant du Web à avoir été touché. Une liste non exhaustive est disponible sur Github. Une adresse propose également de tester si un site est vulnérable ou non.

Le plus grand dommage semble pour l’instant porter sur la confiance que les internautes plaçaient dans le petit cadenas à côté de l’URL...

5
Des pirates ont-ils pu récupérer vos données ?
Oui. La faille serait apparue dans une version d’OpenSSL mise en ligne en 2012. En deux ans d’existence à l’insu de tous, il est tout à fait possible que des personnes mal intentionnées aient découvert le bug et l’aient exploité (ayant donc accès à certains de vos compte ou profils). Il n’y a cependant pour l’heure aucune preuve que ça ait été le cas.

6
Devez-vous changer tous vos mots de passe ?
La faille maintenant identifiée, les codes et serveurs vont être mis à jour rapidement. Yahoo par exemple a déjà annoncé avoir sécurisé ses serveurs centraux, et devrait avoir rapidement terminé. Il faut également que tous les sites renouvellent leurs clefs, ce qui coûte de l’argent et du temps.

Vu l’étendue et la nature du bug, certains comme la communauté du Projet Tor, ont recommandé la plus grande prudence à ceux qui ont un impératif d’anonymat :

« Si vous avez besoin d’anonymat et de vie privée sur Internet, vous feriez mieux de rester loin du Net dans son ensemble pendant les prochains jours, le temps que les choses s’arrangent. »

L’internaute, lui, ne peut pas faire grand chose. Tant que tout n’a pas été mis à jour, réparé, et les clefs de chiffrement réactualisées par les sites vulnérables, il ne servirait à rien de vouloir changer son mot de passe.

le nouvel observateur

Salam,

C'est la 1ère info que j'ai lue ce matin sur le monde. Ils parlent aussi d'un site pour tester les sites qu'on souhaite visiter.

http://*****.io/Heartbleed/

Remplacer ***** par filippo



[IMG][/IMG]

Bonsoir, c'est pour cela qu'il faut vérifier le certificat SSL (cliquer sur le cadenas) avant de déconner. Et s'il n'est pas de verisign ce n'est même pas la peine d'effectuer une quelconque opération sensible.

Bonsoir ..ça fait flipper tout ça

Si ça se trouve cette faille navigue depuis très longtemps, nous ne pouvons garantir la sécurité des données. Il existe des programmes libres qui circulent partout utilises par des hackeurs pro, mais on continue nos conneries et transactions parce que le net est devenu le moyen de communication le plus utilisé.

Le tout est de savoir si nous pouvons y attacher moins d'importance à l'avenir !

Personne ne connaît l'étendue des dégâts pour le moment. En tout les cas ça m'a valu une journée de travail de 29 heures à révoquer des certificats compromis :22: