Heartbleed.fr

Faille de sécurité OpenSSL

Retour sur la faille Heartbleed

 

hb

La faille « Heartbleed » est causée par une défaillance entre un serveur SSL et un client, plus précisément, dans la fonction « heartbeat ». Cette dernière a été créée en vue de maintenir active la connexion SSL d’un client même si aucune donnée n’est transmise. Dans cette fonction, le client envoie un volume de données à destination du serveur et celui-ci les retourne ensuite vers le client. Dans cet article, nous allons vous parler de cette faille et les différentes façons de l’éviter.
Vous pouvez aussi accéder à la page autoradio GPS pour vous familiariser avec les fonctionnalités des autoradios munis de cette technologie.


Heartbleed : où se trouve la faille ?
Le serveur ne vérifie pas la différence entre le nombre de données envoyées et les données correctes du client. Ce dernier peut envoyer 200 octets tout en indiquant la capacité de 6400 octets par exemple. Le serveur retournera les 200 octets suivis de 6200 octets venant de sa mémoire. Les 6200 octets pourront être des mots de passe ou des cookies.


Comment tester si un site est vulnérable ?
Pour localiser la faille Heartbleed sur un site, il existe des services en ligne. Il y a aussi les scripts utilisant un langage Python. L’outil Masscan permet également de scanner les serveurs pour mesurer la vulnérabilité. Openvas ou Tenable sont des signatures pour scanners servant à détecter la vulnérabilité.
Ne faites pas l’erreur de prendre en compte seulement les serveurs Web. La librairie OpenSSL sert à la sécurisation d’autres services comme les emails (POPs/IMAPS ; SMTPS/SMTP+STARTTLS). Elle prend également en charge les messageries instantanées (XMPP). Nous pouvons la retrouver au niveau des équilibreurs de charge comme Load-Balancers par exemple, ainsi que les passerelles d’accès et enfin dans d’autres logiciels et systèmes.
Pour éviter la monoculture, utilisez d’autres librairies que l’OpenSSL. Il y a aussi GNUTLS et Botan. Les projets Opensource sont une source de revenus considérable par rapport à la possession de librairies de chiffrement performantes.
Voyez plus d’actualités sur les autoradios en visitant la page autoradio GPS.