Les nouvelles de Cloudflare vendredi indiquent que le débat est terminé sur la question de savoir si la nouvelle vulnérabilité OpenSSL Heartbleed pourrait être utilisée pour obtenir des clés de chiffrement privées à partir de serveurs et de sites Web vulnérables. Cloudflare a confirmé que des tests indépendants effectués par des tiers ont révélé que cela était vrai. Les clés de chiffrement privées sont en danger.
MakeUseOf a déjà signalé le bogue OpenSSL Un bogue massif dans OpenSSL met une grande partie de l'Internet à risque Un bogue massif dans OpenSSL met une grande partie de l'Internet en danger Si vous êtes de ceux qui ont toujours cru que la cryptographie open source est le moyen le plus sûr de communiquer en ligne, vous allez être surpris. Lire plus la semaine dernière, et a indiqué à ce moment-là que si les clés de chiffrement étaient vulnérables était toujours en question, car Adam Langley, un expert de la sécurité de Google, ne pouvait pas confirmer que tel était le cas.
Cloudflare a initialement lancé un "Heartbleed Challenge" le vendredi, mettant en place un serveur nginx avec l'installation vulnérable d'OpenSSL en place, et a défié la communauté hacker pour essayer d'obtenir la clé de cryptage privée du serveur. Les hackers en ligne ont sauté à relever le défi, et deux individus ont réussi à partir de vendredi, et plusieurs autres «succès» ont suivi. Chaque tentative réussie d'extraire des clés de cryptage privées uniquement à l'aide de la vulnérabilité Heartbleed ajoute à l'évidence de plus en plus évidente que l'impact de Hearbleed pourrait être pire que prévu.
La première soumission a eu lieu le jour même où le défi a été lancé, par un ingénieur logiciel du nom de Fedor Indutny. Fedor a réussi après avoir battu le serveur avec 2, 5 millions de requêtes.
La deuxième soumission est venue d'Ilkka Mattila au Centre national de cybersécurité d'Helsinki, qui n'avait besoin que d'une centaine de milliers de demandes pour obtenir les clés de chiffrement.
Après l'annonce des deux premiers gagnants, Cloudflare a mis à jour son blog samedi avec deux autres gagnants confirmés - Rubin Xu, un étudiant au doctorat à l'Université de Cambridge, et Ben Murphy, un chercheur en sécurité. Les deux individus ont prouvé qu'ils étaient capables de retirer la clé de cryptage privée du serveur, et Cloudflare a confirmé que tous les individus qui ont réussi à surmonter le défi l'ont fait en utilisant uniquement l'exploit Heartbleed.
Les dangers posés par un hacker obtenant la clé de cryptage sur un serveur sont très répandus. Mais devriez-vous être inquiet?
Comme Christian l'a récemment souligné, de nombreuses sources médiatiques évoquent la menace posée par Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité? Lire plus par la vulnérabilité, il peut donc être difficile d'évaluer le danger réel.
Ce que vous pouvez faire: Découvrez si les services en ligne que vous utilisez sont vulnérables (Christian a fourni plusieurs ressources sur le lien ci-dessus). Si c'est le cas, évitez d'utiliser ce service jusqu'à ce que vous entendiez que les serveurs ont été corrigés. Ne courez pas pour changer vos mots de passe, car vous fournissez seulement plus de données transmises pour que les pirates déchiffrent et obtiennent vos données. Lay bas, surveiller l'état des serveurs, et quand ils ont été corrigés, entrez et changez immédiatement vos mots de passe.
Source: Ars Technica | Crédit d'image: Silhouette d'un hacker par GlibStock à Shutterstock