> Tous les forums > Forum Sécurité
 Encore une Faille de sécuritéSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
secujac
  Posté le 09/04/2014 @ 05:45 
Aller en bas de la page 
Astucien

Publicité
byzance4
 Posté le 09/04/2014 à 08:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Bonjour,

On peut tester :

http://filippo.io/Heartbleed/

beorcs
 Posté le 10/04/2014 à 12:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Surtout pour ceux qui font pas mal de transactions par internet ( que ce soit entre leurs divers comptes en banque, ou autre),

Aussi concernés : les sites où on achète, ceux où on achète et vend, et aussi certaines transactions inter et intra-bancaires.

(Mort de rire : ça tombe au moment même où les européens ambitionnent de piquer le leadership mondial informatique et d'internet aux ricains,

et où les français rêvent bien d'occuper le centre de ce leadership en matière de sécurité, vie privée, développement de la cyber-économie __ (cf. les déclarations de la nouvelle secrétaire d'État)__,

c'est plutôt mal barré....).

-------> Regardez un peu sur quoi repose tout ceci :

Selon Ed Felten, OpenSSL est «une infrastructure critique» qui va «devoir être auditée de près». Surtout quand on sait que que cette technologie open-source n'est actuellement supervisée que par quatre ingénieurs européens. Un seul travaille dessus à plein temps, selon le Wall Street Journal. Mais au moins un demi-million de sites l'utilisent.

beorcs
 Posté le 12/04/2014 à 06:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Jpdlex,

"........[«La NSA n'était pas au courant de la faille Heartbleed, jusqu'à ce qu'elle soit rendue publique dans un rapport d'une société privée.... ]

Ekalb
 Posté le 12/04/2014 à 07:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour,

Surtout pour ceux qui font pas mal de transactions par internet ( que ce soit entre leurs divers comptes en banque, ou autre)

Il y a-t-il des sites bancaires concernés par cette faille?

Le mien pas en tout cas.

nardino
 Posté le 12/04/2014 à 08:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

On s'en fout de ton site bancaire, si tu savais.

Il faut toujours que tu raménes les choses à toi, c'est extraordinaire.

byzance4
 Posté le 12/04/2014 à 08:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne
beorcs
 Posté le 12/04/2014 à 08:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

les banques françaises >>>> se disent épargnées ..... mais peut-on les croire ?

>>>> Or, __ (vu sur les divers fora)__ "....l'URL d'un site commence par « https » (le « s » signifiant SSL)" ==>Le S de HTTPS signifie Secure,

pas SSL. Par contre SSL = Secure Socket Layer. Le https peut être sécurisé par du SSL ou du TLS, petit frère du SSL." (-----> ici la faille concerne les sites avec le petit cadenas en haut );

>>>>> et vu ----> ...."Les services financiers représentent de loin l’industrie la plus ciblée. Grand nombre de « cyberrôdeurs » créent des sites Web frauduleux qui imitent de près les sites de Wall Street et les sites bancaires réglementaires, dupant les utilisateurs pour qu’ils leur transmettent leurs numéros de compte, noms d’utilisateur, mots de passe, numéro d’assurance sociale et autres renseignements personnels." >>>> source

.

Il est évident que si des codes bancaires sont piratés (par ex. des mots de passe) ----> les comptes correspondants seront piratés tôt ou tard.

Évidemment, avouer publiquement à leurs clients que oui, il y a bien un risque, serait reconnaître qu'il y a bien juridiquement responsabilité des banques,

puisque ce serait reconnaître de facto que faute d'avoir mis les moyens (financiers et salariaux) dans la programmation, les comptes des clients sont en danger.

( à noter que la licence OpenSSL dit bien que le logiciel est fourni sans la moindre garantie ) -----> aux utilisateurs de faire attention....

------> apparemment un risque aurait été repéré (SSL) pour ING direct ( qui demande aux clients de prendre les précautions nécessaires)

Et le risque (est peut être) aussi que ce genre de faille,

permette l'intrusion de pirates, en procédant par vols d'identités dans un premier temps (dans les fichiers clients, mais hors comptes),

puis accès aux comptes dans un second temps de manière plus classique ( c'est le maillon le plus faible qui détermine la solidité d'une chaîne .... )

Pour l'instant, silence radio des banques : perso, je présume que le nécessaire est fait, sinon en train . Wait and see....

byzance4
 Posté le 12/04/2014 à 08:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne
Publicité
Ekalb
 Posté le 12/04/2014 à 09:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour,

Il est évident que si des codes bancaires sont piratés (par ex. des mots de passe) ----> les comptes correspondants seront piratés tôt ou tard.

La banque avec laquelle je fais mes transactions, qui est aussi celle de millions de personnes, il n'y a pas de mot de passe constant.

Pour l'instant, silence radio des banques : perso, je présume que le nécessaire est fait, sinon en train .

Réaction de "ma" banque (je ne connais pas les autres):

Extrait:

"(...) notre site sécurisé qui vous permet d'effectuer vos opérations bancaires, n'a été à aucun moment touché par ces fuites compromettant la sécurité des communications. Sans entrer bien sûr dans les détails, nous vous confirmons que la conception très robuste de PC banking le rend intrinsèquement invulnérable face à de telles failles. Vous pouvez donc continuer à effectuer vos opérations en toute sérénité avec PC banking et Easy banking. Les autres sites de la banque utilisent d'ailleurs une architecture semblable et robuste pour la sécurisation des données."



Modifié par Ekalb le 12/04/2014 10:07
tarek13
 Posté le 12/04/2014 à 10:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Il existe des extensions qui avertissent si le site (sur lequel on navigue) est exposé ou non à la faille Heartbleed :

Chromebleed pour Google Chrome et FoxBleed pour Firefox.

beorcs
 Posté le 12/04/2014 à 11:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

tarek13 a écrit :

Il existe des extensions qui avertissent si le site (sur lequel on navigue) est exposé ou non à la faille Heartbleed :

Chromebleedpour Google Chrome et FoxBleed pour Firefox.

.....Est-ce que par hasard, ça ne serait pas pour eux,

un moyen de plus de repérer les sites où les internautes achètent, vendent, échangent ou placent leur argent ?

(mais c'est vrai que je suis une véritable langue de vip. obsédé par la protection de la vie privée..... )

tarek13
 Posté le 12/04/2014 à 12:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Va savoir.

Avec l'extension FoxBleed, la navigation me semble assez lente.

Il y a un autre moyen* de vérifier si un site est vulnérable, ici.

Un essai pour www.pcastuces.com:


Unable to get HTTP headers for www.pcastuces.com

Site: www.pcastuces.com
Server software: Not reported
Was vulnerable: Possibly (might use OpenSSL, but we can't tell)
SSL Certificate: Unable to extract SSL information.
Does https://www.pcastuces.com work for you? This tool is only for HTTPS sites.


Edit*

tarek13
 Posté le 12/04/2014 à 17:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

« Il y a un autre moyen* de vérifier si un site est vulnérable, ici. »

Ekalb
 Posté le 12/04/2014 à 18:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonsoir,

La faille peut être comblée facilement.

Existe-t-il encore beaucoup de sites qui n'ont pas mis en oeuvre le correctif? Non probablement.

byzance4
 Posté le 12/04/2014 à 18:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Le site proposé par tarek13 m'a permis de constater que certains sites n'avaient pas encore mis en œuvre le correctif ce matin

tarek13
 Posté le 12/04/2014 à 18:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Existe-t-il encore beaucoup de sites qui n'ont pas mis en oeuvre le correctif? Non probablement.

En effet, les géants du web ont été prévenus en amont et ont ainsi pu, sans doute, se mettre à jour très rapidement (voir ce billet de Google).

Globalement, une majorité des sites concernés par l'article de Mashable et de ses différentes reprises ont donc été très réactifs.

Exemple: Le Crédit Mutuel--> http://filippo.io/Heartbleed/#paiement.creditmutuel.fr

Publicité
byzance4
 Posté le 12/04/2014 à 19:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne
beorcs
 Posté le 12/04/2014 à 19:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

byzance4 a écrit :

Si vous avez des loisirs ...

https://github.com/musalbas/heartbleed-masstest/blob/master/top10000.txt

Dommage qu'ils n'aient pas pris la peine, de les classer, au moins par ordre alphabétique ....

byzance4
 Posté le 12/04/2014 à 19:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Je suis bien de ton avis, bonjour la migraine

Fais dans l'urgence, je suppose.

tarek13
 Posté le 14/04/2014 à 12:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien
beorcs
 Posté le 16/04/2014 à 20:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir,

Peut-on .....

Éviter la faille Heartbleed grâce à une extension pour navigateur ?

Depuis lundi, une faille a été découverte dans une extension OpenSSL, rendant vulnérables de nombreux sites Web et les données des utilisateurs.

Des extensions Chrome et Firefox permettent de savoir si un site Web en particulier est concerné par cette faille de sécurité. >>>> voir ICI

.

Bon, moi, ....je vais voir à quoi elle ressemble cette extension .



Modifié par beorcs le 16/04/2014 20:19
HiG
 Posté le 16/04/2014 à 22:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Autre gadget pour Android :

https://play.google.com/store/apps/details?id=com.cleanmaster.security.heartbleed

Il "scanne" toutes les applications installées.

  • Démarrage manuel.
  • Pas de contrôle de site en cours de navigation.

La même angoisse m'étreint, mais je ne désespère pas de réussir le passage à 2015 aussi bien que pour Y2K.



Modifié par HiG le 16/04/2014 23:10
beorcs
 Posté le 16/04/2014 à 23:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

En tous cas, pour les inquiets,

le dossier assez complet de Comment Ça Marche ------> ICI

edit.

** Je viens de farfouiller un peu à droite et à gauche : pas trouvé de banque vulnérable ; par contre déjà un site :



Modifié par beorcs le 17/04/2014 00:04
HiG
 Posté le 17/04/2014 à 21:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Anonyme a écrit :
HiG a écrit : ...La même angoisse m'étreint, mais je ne désespère pas de réussir le passage à 2015 aussi bien que pour Y2K.

Salut

Pour Y2K, le problème était totalement différent : seules quelques applications minoritaires

pouvaient être concernées. Beaucoup de bruit pour rien

Ben, RV dans 14 ans pour lire les commentaires sur Heartbleed.

Nota :
les quelques "applications minoritaires" avaient coûté des milliards « à titre préventif » et les éditeurs de "sécurité" avaient prospéré.

.

Combien de (centaines de milliers de) victimes du dernier fléau à la mode recensées aujourd'hui ?

Edit : orthographe



Modifié par HiG le 17/04/2014 21:18
secujac
 Posté le 20/04/2014 à 10:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour à toutes et tous,

Le (ce) problème va sans doute se régler, mais à quel prix.

Il n'y a pas que les coeurs qui vont saigner...

http://www.bluewin.ch/fr/digital/2014/4/15/reparer-la-faille-informatique-heartbleed-perturbe.html

Bonne journée à tous.

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
11,99 €Récepteur audio Bluetooth Aukey à 11,99 €
Valable jusqu'au 08 Décembre

Amazon fait une promotion sur le récepteur audio Bluetooth Aukey qui passe à 11,99 €. Ce petit adaptateur bien pratique va vous permettre d'ajouter le Bluetooth à votre chaine hifi, à votre ampli ou à vos enceintes filaires afin d'écouter la musique de votre téléphone ou de votre tablette via une connexion sans fil.


> Voir l'offre
299,99 €Ecran 27 pouces Acer Nitro XV272UP (QHD, IPS, 144 Hz) à 299,99 €
Valable jusqu'au 06 Décembre

Fnac fait une promotion sur l'écran 27 pouces Acer Nitro XV272UP (QHD 2560x1440, IPS, 144 Hz) à 299,99 € au lieu de 399 €. L'écran est Adaptive Sync et compatible Freesync et GSync.


> Voir l'offre
78,99 €SSD SanDisk Plus 1 To à 78,99 €
Valable jusqu'au 07 Décembre

Amazon propose actuellement le SSD SanDisk Plus 1 To à 78,99 €. Une bonne affaire pour ce SSD très fiable et performant qui offre des débits de 530 Mo/s en lecture et 445 Mo/s en écriture. Il est garanti 3 ans. On le trouve ailleurs à partir de 110 €. 


> Voir l'offre

Sujets relatifs
Faille de sécurité sous Linux ?
Faille de sécurité dans IE.
Android : faille de sécurité dans le système de màj de l'OS
JAVA : faille de sécurité
70 millions routeurs Linksys ...faille de sécurité
Faille de sécurité critique dans Java 7 activement
Samsung Galaxy : une faille de sécurité importante
faille de sécurité
Inria débusque une faille de sécurité « majeure »
Faille de sécurité dans Windows
Plus de sujets relatifs à Encore une Faille de sécurité
 > Tous les forums > Forum Sécurité