Heartbleed en image pour les nuls

PARTAGER:

Un peu de vulgarisation pour comprendre la faille de sécurité Heartbleed

Voila quelques jours qu’on nous fait flipper avec un bug décrit parfois comme apocalyptique (je n’ai pas encore vu les émeutes, pillages, morts, zombies d’une apocalypse digne de ce nom)… Pire que le bug de l’an 2000 à ce qu’il parait (souvenons nous que ce fameux bug de l’an 2000  nous en a touché une sans faire bouger l’autre comme dirait Chichi… Je paris qu’il en sera de même pour l’XPocalypse, qui a fait les choux gras de la presse spécialisée ces dernières semaines ;-).

Pour en revenir à Heartbleed… Bien compliqué cette histoire… Un bug qui existerait depuis 2012 sans qu’on le sache, sans que les grosses têtes en sécurité informatique ne donnent l’alerte.

Bref, si cette actu a été largement commentée dans les sites hightech/geek c’est sur Wikipedia qu’elle est le mieux vulgarisée et que j’ai le mieux compris comment fonctionne cette faille de sécurité.

heartbleed
image via : lemagit.fr

Ainsi, il est possible de se faire piquer nos identifiants et données personnelles enregistrées sur un service web que l’on utilise si ce service web est hébergé sur un serveur qui présente la faille Heartbleed. Il suffit à un bonhomme mal attentionné d’attaquer le serveur en question pour récupérer ces données…

Attaquer le serveur? Ça veut dire quoi ça?

Pour vulgariser, disons que la faille de sécurité touche la librairie Open SSL, un truc qui permet notamment d’effectuer des connexions dites “sécurisées” avec un site web (vous savez quand l’URL commence par HTTPS). Une fonctionnalité appelée Heartbeat, permet d’envoyer des messages en permanence au serveur tant qu’on est connecté à son site web sécurisé préféré pour garder la connexion active : le client (votre ordinateur) envoi un paquet de données pour interroger le serveur et lui signifier qu’on est encore connecté en indiquant dans ces paquets des infos telles que la taille du paquet de manière à ce que le serveur réponde par des paquets de données identiques et équivalents… comme un ping quoi…

Et bien que se passe-t-il si le client prétend avoir envoyé pleins de bytes alors qu’il en a envoyé qu’1? La réponse et con, comme le serveur doit envoyer des paquets équivalents à ceux reçu, il complète avec d’autres infos présentes sur ses disques quitte à renvoyer des infos confidentielles… CQFD.

Vous l’aurez compris, cela ne sert à rien de changer vos identifiants sur vos services web préférés tant que les serveurs de ces sites ne sont pas encore sécurisés car ils seront toujours récupérables par un hacker. Par contre, dès que le bug est corrigé les dits serveurs, il faut vite modifier des fois qu’ils auraient été piqués et avant qu’ils n’aient été utilisés.

Voila pourquoi certains se sont amusés à recenser les sites qui ont déjà mis à jour leur système et sur lesquels on peut/doit pertinemment et sans risques modifier nos identifiants.

Pas évident de vulgariser un truc pareil. Voila en BD, le principe de ce genre d’attaque si mes explications restent encore floues :


heartbleed
via : XKCD

COMMENTAIRES

BLOGGER: 2
Loading...

Blog geek

Crack-net est un blog Geek, pour les Geeks et autres Nerds mais aussi pour la ménagère, l'enseignant, l'étudiant, l'ouvrier ou le cadre.... Pour quiconque atterrira sur ces pages
Nom

accessoire,7,actualité,62,addon,10,Adsence,8,adwcleaner,2,Amazon,2,android,52,androïd,3,antivirus,12,Apple,19,application,65,arnaque,7,art,18,Article sponsorisé,3,astuce,97,bd,6,billet d'humeur,33,Blog geek,1,blogger,34,BLOGGING,44,bon plan,9,bug,8,bureatique,2,bureautique,3,chrome,22,cinema,17,cloud,3,CMS,3,concours,6,Crack-net story,34,découverte,3,dell,1,design,4,développement durable,2,dropbox,1,ebook,1,education,47,emploi,3,enquête,2,evernote,1,extension,14,facebook,32,firefox,11,Flash,4,foot,1,free,3,gadget,2,gagner de l'argent,12,geek,64,geekeries,12,gmail,14,google,32,gps,2,gratuit,120,html,5,humour,30,image,30,immobilier,3,infographie,70,Insolite,20,internet,60,iPad,6,iphone,54,itunes,7,jeux video,27,joomla,1,Lecture,2,linux,6,liste,1,logiciel,59,logo,4,mac,3,mail,19,manga,6,marketing,9,meilleurs sites,3,messenger,1,microsoft,7,mobile,13,monetiser,13,mp3,3,musique,14,nomade,1,office,6,outlook,1,p2p,1,PC,55,pdf,11,photo,43,photoshop,6,playstation,1,podcasts,2,pratique,13,publicité,15,referencement,6,référencement,2,rese,1,Réseaux sociaux,57,rumeur,2,samsung,5,samsung galaxy s2,9,sécurité,26,seo,12,séries,15,service web,116,skype,1,smartphone,47,sport,2,streaming,6,tablette,4,Tchat,1,téléchargement,24,telephone,7,téléphonie,13,template,6,test,3,torrent,3,travail,2,troll,3,Tuto,104,tv,9,twitter,47,video,56,wallpaper,5,webmaster,42,widget,4,wifi,2,windows,42,wordpress,9,youtube,20,
ltr
item
Crack-net: Heartbleed en image pour les nuls
Heartbleed en image pour les nuls
Un peu de vulgarisation pour comprendre la faille de sécurité Heartbleed
http://lh4.ggpht.com/-CFInVCmkgww/U03ARShx8xI/AAAAAAAAEDE/2Z-_ft2Tdts/image_thumb%25255B5%25255D.png?imgmax=800
http://lh4.ggpht.com/-CFInVCmkgww/U03ARShx8xI/AAAAAAAAEDE/2Z-_ft2Tdts/s72-c/image_thumb%25255B5%25255D.png?imgmax=800
Crack-net
http://www.crack-net.com/2014/04/heartbleed-en-image-pour-les-nuls.html
http://www.crack-net.com/
http://www.crack-net.com/
http://www.crack-net.com/2014/04/heartbleed-en-image-pour-les-nuls.html
true
3471367308829404027
UTF-8
Loaded All Posts Not found any posts VOIR TOUT Lire la suite Repondre Annuler la reponse Effacer Par Home PAGES ARTICLES Tout Voir JE VOUS RECOMMANDE LABEL ARCHIVE RECHERCHE ALL POSTS Not found any post match with your request Retour Home Dimanche Lundi Mardi Mercredi Jeudi Vendredi Samedi Dim Lun Mar Mer Jeu Ven Sam Janvier Fevrier Mars Avril Mai Juin Juillet Aout Septembre Octobre Novembre Decembre Jan Fev Mar Avr Mai Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Hier $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow CONTENU PREMIUM SVP Partager pour deverrouiller Copier tout le code Sélectionner tout le code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy