Heartbleed en image pour les nuls

Un peu de vulgarisation pour comprendre la faille de sécurité Heartbleed
Voila quelques jours qu’on nous fait flipper avec un bug décrit parfois comme apocalyptique (je n’ai pas encore vu les émeutes, pillages, morts, zombies d’une apocalypse digne de ce nom)… Pire que le bug de l’an 2000 à ce qu’il parait (souvenons nous que ce fameux bug de l’an 2000  nous en a touché une sans faire bouger l’autre comme dirait Chichi… Je paris qu’il en sera de même pour l’XPocalypse, qui a fait les choux gras de la presse spécialisée ces dernières semaines ;-).

Pour en revenir à Heartbleed… Bien compliqué cette histoire… Un bug qui existerait depuis 2012 sans qu’on le sache, sans que les grosses têtes en sécurité informatique ne donnent l’alerte.

Bref, si cette actu a été largement commentée dans les sites hightech/geek c’est sur Wikipedia qu’elle est le mieux vulgarisée et que j’ai le mieux compris comment fonctionne cette faille de sécurité.

heartbleed
image via : lemagit.fr

Ainsi, il est possible de se faire piquer nos identifiants et données personnelles enregistrées sur un service web que l’on utilise si ce service web est hébergé sur un serveur qui présente la faille Heartbleed. Il suffit à un bonhomme mal attentionné d’attaquer le serveur en question pour récupérer ces données…

Attaquer le serveur? Ça veut dire quoi ça?

Pour vulgariser, disons que la faille de sécurité touche la librairie Open SSL, un truc qui permet notamment d’effectuer des connexions dites “sécurisées” avec un site web (vous savez quand l’URL commence par HTTPS). Une fonctionnalité appelée Heartbeat, permet d’envoyer des messages en permanence au serveur tant qu’on est connecté à son site web sécurisé préféré pour garder la connexion active : le client (votre ordinateur) envoi un paquet de données pour interroger le serveur et lui signifier qu’on est encore connecté en indiquant dans ces paquets des infos telles que la taille du paquet de manière à ce que le serveur réponde par des paquets de données identiques et équivalents… comme un ping quoi…

Et bien que se passe-t-il si le client prétend avoir envoyé pleins de bytes alors qu’il en a envoyé qu’1? La réponse et con, comme le serveur doit envoyer des paquets équivalents à ceux reçu, il complète avec d’autres infos présentes sur ses disques quitte à renvoyer des infos confidentielles… CQFD.

Vous l’aurez compris, cela ne sert à rien de changer vos identifiants sur vos services web préférés tant que les serveurs de ces sites ne sont pas encore sécurisés car ils seront toujours récupérables par un hacker. Par contre, dès que le bug est corrigé les dits serveurs, il faut vite modifier des fois qu’ils auraient été piqués et avant qu’ils n’aient été utilisés.

Voila pourquoi certains se sont amusés à recenser les sites qui ont déjà mis à jour leur système et sur lesquels on peut/doit pertinemment et sans risques modifier nos identifiants.

Pas évident de vulgariser un truc pareil. Voila en BD, le principe de ce genre d’attaque si mes explications restent encore floues :


heartbleed
via : XKCD

COMMENTAIRES

BLOGGER: 2
  1. "Vous l’aurez compris, cela ne sert à rien de changer vos identifiants sur vos services web préférés tant que les serveurs de ces sites ne sont pas encore sécurisés"

    Non seulement cela ne sert à rien, mais c'est même franchement déconseillé !

    Le problème avec cette faille, c'est qu'elle permet de récupérer jusqu'à 64K de la RAM du serveur web exécutant SSL sans laisser la moindre trace.
    Autant dire qu'il est plus prudent de ne pas vous connecter à votre compte sur les sites n'ayant pas encore remédié au problème afin d'éviter que vos informations de connexion ne circulent en RAM.

    RépondreSupprimer

Nom

accessoire,12,actualité,72,addon,11,Adsence,3,adwcleaner,2,Amazon,2,android,59,antivirus,14,Apple,22,application,74,arnaque,9,art,18,Article sponsorisé,3,astuce,171,bd,6,billet d'humeur,25,Blog geek,1,blogger,31,BLOGGING,41,bon plan,43,bug,9,bureatique,2,bureautique,4,chrome,27,cinema,17,cloud,3,CMS,3,concours,5,Crack-net story,23,découverte,2,dell,2,design,4,développement durable,2,dropbox,1,ebook,3,education,96,emploi,3,enquête,2,evernote,1,extension,24,facebook,30,fiche-film-serie,1,firefox,12,Flash,3,foot,5,free,3,gadget,3,gagner de l'argent,5,geek,63,gmail,14,google,34,gps,2,gratuit,118,html,5,humour,27,IA,2,image,36,immobilier,2,infographie,67,Insolite,15,internet,77,iPad,6,iphone,46,itunes,6,jeux video,37,joomla,1,Lecture,2,linux,5,liste,1,logiciel,76,logo,5,mac,9,mail,23,manga,8,marketing,7,meilleurs sites,2,messenger,1,microsoft,8,mobile,11,monetiser,6,mp3,4,musique,19,Netflix,7,nomade,1,office,6,orthographe,5,outlook,1,p2p,1,PC,82,pdf,11,photo,46,photoshop,8,piratage,63,playstation,1,podcasts,1,pratique,15,PS5,1,publicité,13,raccourcis clavier,5,referencement,1,référencement,2,rese,1,réseau,2,Réseaux sociaux,53,rumeur,2,samsung,6,samsung galaxy s2,7,sécurité,60,seo,8,séries,14,service web,133,skype,1,smartphone,52,sport,5,streaming,22,tablette,6,Tchat,1,téléchargement,30,telephone,7,téléphonie,14,template,6,test,3,torrent,5,travail,2,troll,3,Tuto,203,tv,14,twitter,41,video,65,vidéoprojecteur,12,wallpaper,6,webmaster,41,WhatsApp,3,widget,4,wifi,4,windows,55,wordpress,9,Y13,1,youtube,24,
ltr
item
Crack-net: Heartbleed en image pour les nuls
Heartbleed en image pour les nuls
Un peu de vulgarisation pour comprendre la faille de sécurité Heartbleed
http://lh4.ggpht.com/-CFInVCmkgww/U03ARShx8xI/AAAAAAAAEDE/2Z-_ft2Tdts/image_thumb%25255B5%25255D.png?imgmax=800
http://lh4.ggpht.com/-CFInVCmkgww/U03ARShx8xI/AAAAAAAAEDE/2Z-_ft2Tdts/s72-c/image_thumb%25255B5%25255D.png?imgmax=800
Crack-net
https://www.crack-net.com/2014/04/heartbleed-en-image-pour-les-nuls.html
https://www.crack-net.com/
https://www.crack-net.com/
https://www.crack-net.com/2014/04/heartbleed-en-image-pour-les-nuls.html
true
3471367308829404027
UTF-8
Loaded All Posts Articles non trouvés VOIR TOUT Lire plus... Répondre Cancel reply Effacer Par Home PAGES Articles Voir Tout RECOMMANDÉ POUR VOUS LABEL ARCHIVE SEARCH TOUS LES ARTICLES Aucun article ne correspond à votre recherche Back Home Dimanche Lundi Mardi Mercredi Jeudi Vendredi Samedi Dim Lun Mar Mer Jeu Ven Sam Janvier Février Mars Avril Mai Juin Juillet Aout Septembre Octobre Novembre Décembre Jan Fev Mar Avr Mai Jun Jul Aug Sep Oct Nov Dec A l'instant Il y a 1 minute $$1$$ minutes ago Il y a 1 heure $$1$$ hours ago Hier $$1$$ days ago $$1$$ weeks ago Il y a plus de 5 semaines Followers Follow CONTENU PREMIUM BLOQUÉ STEP 1: Share to a social network STEP 2: Click the link on your social network Copier tout le code Sélectionner tout le code Tout le code est copié Impossible de copier le code/texte, veuillez appuyer sur [CTRL]+[C] (ou CMD+C sur Mac) pour copier Au Sommaire...