Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
 Your new post is loading...
Your new post is loading...
Scoop.it!
La précipitation de certains à vouloir se protéger au plus vite contre la faille Heartbleed a conduit à des erreurs. Par exemple, certaines rééditions de certificats SSL ont repris la même clé vulnérable que celle qu'elle était censée remplacer. Parfois, certains sites ont migré leurs serveurs vers une version d'OpenSSL non corrigée. 
No comment yet.
Sign up to comment
Scoop.it!
Les 1000 premiers sites les plus visités du web sont protégés contre la vulnérabilité Heartbleed. Mais sur le premier million de sites, 2 % d'entre eux n'ont pas encore corrigé le problème.
Stéphane NEREAU's insight:
Le 7 avril, le projet OpenSSL a livré un correctif pour patcher ce bug, et nombre de services informatiques se sont précipités pour corriger le logiciel sur les serveurs et dans certains systèmes d'exploitation client. « Le 17 avril, une grande majorité des serveurs exposés avait été corrigés », avait déclaré Sucuri Security dans un billet de blog ce jour-là. Mais, si la totalité des 1000 premiers sites classés par Alexa étaient à l'abri, Sucuri a trouvé de plus en plus de sites exposés au fur et à mesure qu'elle élargissait son balayage. Ainsi sur les 10 000 premiers sites, 0,53 % étaient vulnérables, sur les 100 000 premiers, le taux passe à 1,5 %, et sur le premier million, Sucuri arrive à 2 % de sites vulnérables.
|
Scoop.it!
Mozilla va renforcer la vérification des certificats SSL dans Firefox 31 à l'aide d'une bibliothèque, mozilla::pkix, qu'il soumet à une chasse aux bugs jusqu'à la fin du mois de juin. A la clé, une récompense de 10 000 dollars.
Stéphane NEREAU's insight:
« Comme il nous a été douloureusement rappelé que la rectitude du code dans les bibliothèques TLS était cruciale sur Internet aujourd'hui, nous voulons nous assurer que ce code est solide comme le roc avant de le livrer à des millions d'utilisateurs de Firefox », a indiqué hier Daniel Veditz, responsable en sécurité de l'éditeur. « Nous nous intéressons principalement à des bugs qui permettent la construction de chaînes de certificat qui sont acceptées comme valides alors qu'elles devraient être rejetées, et à des bugs dans le nouveau code qui conduiraient à exploiter une corruption de mémoire ».
Scoop.it!
Certains fournisseurs de certificats SSL vous assomment avec des prix exorbitants. D’autres fournisseurs vous les donnent. Il existe de nombreux types de certificats qui ne se valent pas tous. Comment y voir clair ? Tour d’horizon. Via Frederic GOUTH
|
Par contre, ce n'est pas le cas des quelque 20 % de serveurs rendus vulnérables et qui ne l'étaient pas quand l'attaque a été révélée : selon une étude réalisée par le développeur de logiciels Yngve Nysæter Pettersen, il semble que certains opérateurs ont remplacé des versions sûres d'OpenSSL par des versions non corrigées. « Il est possible que le battage médiatique autour d'OpenSSL a conduit certains administrateurs à croire que leur système n'était pas sécurisé ». Plus la pression administrative et la nécessité « de ne pas rester sans rien faire », les aurait pousser « à déclencher la mise à niveau d'un serveur non affecté avec une nouvelle version non corrigée du système, probablement parce que la variante n'avait pas encore été officiellement patchée », a-t-il suggéré. Nysæter Pettersen a démarré son scan le 11 avril : au cours des deux semaines qui ont suivi, près de la moitié des serveurs vulnérables avaient été corrigés. Globalement, le nombre de serveurs tournant avec une version vulnérable d'OpenSSL a baissé de 5,36 % à 2,77 %. Cependant, l'application de correctif sur les serveurs vulnérables a presque complètement cessé. « Mercredi dernier, 2,33 % des serveurs n'avaient toujours pas été corrigés », a-t-il encore ajouté.