Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé SSL. Afficher tous les messages
Aucun message portant le libellé SSL. Afficher tous les messages

mercredi 29 juin 2016

Analyser votre site web pour le contenu non sécurisé(SSL)





Cet outil va parcourir un HTTPS-site (intégralité du site, de manière récursive, à la suite des liens internes) et rechercher des images non sécurisées, des scripts et css fichiers qui déclenchent un message d'avertissement dans les navigateurs. Le nombre de pages rampé est limité à 200 par site. Les résultats sont mis en mémoire cache pendant 10 minutes.
ici : https://www.jitbit.com/sslcheck/



Comme vous le savez peut-être Google a annoncé qu'on va en HTTPS et ça vous donnera un classement mineur boost. 

 Beaucoup de gens se sont précipités dans l'achat de certificats SSL et le passage à HTTPS.  
Mais après l'activation de SSL sur votre serveur - rappelez-vous de tester vos pages pour les URL «absolues» qui pointent vers un contenu non sécurisés - images et scripts.
 



Les  API

Cette page accepte hachage paramètres comme ceci: 

 https://www.jitbit.com/sslcheck/#url=https://www.google.com/, se sentent libres a utiliser.


Source.:

dimanche 5 avril 2015

Votre employeur peut espionner vos communications car le déchiffrement HTTPS est parfaitement « légitime »



Votre employeur peut espionner vos communications chiffrées, et la CNIL est d’accord

La Commission nationale informatique et libertés donne sa bénédiction au déchiffrement des flux HTTPS des salariés, à condition que cette pratique soit encadrée. Il reste néanmoins une zone de flou juridique côté pénal...

 

 

Saviez-vous que certains employeurs déchiffrent systématiquement les flux HTTPS de leurs salariés lorsqu’ils surfent sur Internet ? Ils disposent pour cela d’un équipement appelé « SSL Proxy » qui se place entre l’utilisateur et le serveur Web. Cette boîte magique déchiffre tous les échanges en usurpant l’identité du service interrogé (google.com, par exemple), par l’utilisation d’un certificat bidon. La pratique n’est pas du tout récente, mais se fait de manière un peu cachée en raison d'incertitudes juridiques et de l'impopularité de cette mesure auprès des salariés. Les directeurs informatiques n’ont, par conséquent, pas une folle envie d’en faire la publicité.

Mais l’employeur peut se rassurer : la CNIL vient de publier une note qui clarifie les choses. Ainsi, la Commission estime que le déchiffrement des flux HTTPS est parfaitement « légitime », car elle permet à l’employeur d’assurer « la sécurité de son système d’information », en bloquant les éventuels malwares qui s’y trouveraient. Evidemment, ce n’est pas la seule raison : ces équipements sont également utilisés pour prévenir les fuites d’informations. Un salarié qui enverrait des documents confidentiels à un concurrent pourrait, ainsi, être facilement repéré.

Infraction pénale ou pas ?

Toutefois, la CNIL met un (petit) bémol. L’utilisation de cette technique de surveillance doit être « encadrée ». Ainsi, les salariés doivent être informés en amont et de manière « précise » sur cette mesure : raisons invoquées, personnes impactées, nature de l’analyse effectuée, données conservées, modalités d’investigation, etc. L’employeur doit également mettre en place une « gestion stricte des droits d’accès des administrateurs aux courriers électroniques ». Autrement dit : éviter que tous les membres du service informatique puissent fouiller dans les messageries. Par ailleurs, les « traces conservées » doivent être réduites au minimum.

Il reste néanmoins une petite zone de flou juridique, nous explique la CNIL. En effet, le Code pénal interdit théoriquement « d’entraver ou de fausser le fonctionnement d’un système de traitements automatisés de données (STAD) ». Or, quand l’entreprise déchiffre les flux Gmail de ses salariés, on peut estimer que cela fausse le fonctionnement du STAD d’un tiers, à savoir Google. Cela pourrait donc constituer une infraction. Conclusion de la CNIL : il faudrait peut-être modifier le Code pénal pour que l’employeur puisse réellement surveiller ces flux chiffrés en toute tranquillité. Décidément, la situation n'est pas encore totalement claire... 

A lire aussi :
Des milliers d’applis Android et iOS restent vulnérables à Freak, la faille HTTPS - 18/03/2015

Source :
CNIL

dimanche 26 octobre 2014

Les Banques vulnérables a la faille Poodle Attaque(faille SSL) ?

SSL désuet depuis 18 ans: Voici la vulnérabilité POODLE(ouf ouf ouf)



Dans le cas où vous n'avez pas entendu, les boffins que Google ont découvert une vulnérabilité qui est assez grave.

Ce n'est pas aussi mauvais que Heartbleed ou le bug Shellshock Bash, mais ce n'est pas le genre de chose que vous voulez pas qu'un pirate malveillant peut exploiter n'importe où près de chez vous.

C'est ce qu'on appelle la vulnérabilité POODLE, ou comme j'aime à penser que c'est "le bug POODLE".

En savoir plus dans la vidéo suivante: ICI 

POODLE signifie «Padding Oracle On Downgraded Legacy Encryption", et c'est un moyen d'intercepter les communications SSL soi-disant sécurisées entre votre ordinateur et un site Web(attaque man in the middle).

Si tout fonctionne correctement, SSL doit être l'une des façons dont vos communications sur Internet sont sécurisées.

Mais POODLE fournit un moyen pour les attaquants, l'imperfection de votre ordinateur de ne pas utiliser le cryptage la plus récente et de ses communications Internet, mais utilisent le désuet SSL 3.0 à la place. Et SSL 3.0 est âgé d'environ 18 ans, il contient des bugs, et a été depuis longtemps supplanté par des technologies plus fortes.

Les bonnes nouvelles est que, contrairement a Heartbleed ou Shellshock, tous ceux qui veulent utiliser la faille POODLE ,ils doivent passer entre votre ordinateur et un site Web que vous êtes en visite. La façon la plus probable qu'ils vont faire est si vous accédez au Web en utilisant le WiFi gratuit dans un café, et ne remarquez pas le pirate assis dans le coin de la pièce - qui est en train de renifler vos données comme il vole à travers les ondes .

Ce qu'ils ne peuvent pas faire(hackers) est de vous attaquer de l'autre côté du monde.

PoodleFurthermore, il semble qu'une attaque réussi de POODLE (un caniche mord ?),est plus susceptible d'être en mesure de voler vos cookies de session, plutôt que de tout ce que vous transmettez-et-qui provient du Web

 Mais si un pirate parvient à saisir ceux-ci, ils pouvaient encore lire vos messages webmail, ou les poster tweets en votre nom, et causer toutes sortes d'autres méfaits.

 

Alors allons vérifier la vulnérabilité au SSL Poodle Attaque, avec les Banques Canadienne et la Caisse Desjardins:


Les banques suivantes sont celles à service complet :


Plusieurs Banques Canadienne sont vulnérables a la faille poodle :
Dont, la Banque de Mtl, http://www.bmo.com/principal/particuliers
ou le site suivant:
 https://www1.bmo.com/onlinebanking/cgi-bin/netbnx/NBmain?product=2
 , la banque de Mtl
La ScotiaBank :
http://www.scotiabank.com/gls/en/index.html#about
ou le  http://www.scotiabank.com/ca/fr/0,,1650,00.html

Caisse Desjardins:
http://www.desjardins.com/
https://accesd.desjardins.com/fr/accesd/




Toute les autres grandes Banques Canadienne , Non !

Le bug internet vulnérabilité du POODLE ! Regardez cette vidéo puis vérifiez votre navigateur.comme je expliqué dans la vidéo, vous pouvez tester votre navigateur par des sites comme le www.poodletest.com toujours aussi mignon et de tester les sites visiter avec www.poodlescan.com

La plupart d'entre nous ont deux ou plusieurs navigateurs installés sur nos systèmes. Contrairement à une solution Windows, il n'y a pas un patch qui permettra de protéger nos navigateurs de caniche. Au lieu de cela, nous devons faire des ajustements au sein de chaque navigateur, avec Firefox, il faut aussi télécharger et utiliser un compte Mozilla Add-on jusqu'à ce qu'une nouvelle version de Firefox arrive dans un mois ou deux.
Soyez conscient: Après avoir effectué ces réglages, vous trouverez peut-être que les sites Web des entreprises ne fonctionnent pas correctement. Donc, je recommande de faire les ajustements suivants à un navigateur et en laissant un autre navigateur pour les sites qui sont toujours en attente pour les changements nécessaires pour se protéger de caniche. (Encore une fois, le correctif pour cette faille doit se faire sur les deux extrémités de connexions Internet -. Le client et le serveur)
Les modifications suivantes forcer votre navigateur à ne pas utiliser SSL 3.0. Voici ce qu'il faut régler dans les trois premiers navigateurs.
Chrome: le navigateur de Google, modifier le raccourci qui lance le navigateur, l'ajout d'un drapeau à la fin du chemin de raccourci. Commencez par sélectionner l'icône normalement utilisé pour lancer Chrome. Faites un clic droit sur ​​l'icône et sélectionnez Propriétés. Sous l'onglet Raccourci, trouver la case "Cible" et insérer --ssl-version-min = TLS1 immédiatement après chrome.exe "(voir Figure 1). Il devrait ressembler à ceci (notez l'espace entre .exe" et --ssl-):
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" --ssl-version-min = TLS1
(Remarque: Si votre chemin de Chrome original ne commence ni ne finit avec des guillemets, ne pas ajouter un après chrome.exe.)
Chrome TLS flag
Figure 1. Désactivez SSL 3.0 soutien dans Chrome en ajoutant un drapeau à la fin du chemin Propriétés / cible.
A partir de maintenant, lancer Chrome seulement avec ce raccourci édité. Lancement du navigateur de toutes les icônes de lancement inédites ne protège pas de caniche. Envisager cliquant sur ​​l'onglet Général dans la boîte de dialogue Propriétés Chrome et donner le raccourci édité un nom unique - comme «Chrome - pas SSLv3" ou quelque chose de semblable. Ensuite, vous saurez toujours vous utilisez le raccourci droit.
Firefox: Comme indiqué dans le 14 octobre Mozilla blogue poste , Firefox 34, qui devrait être publié le 25 novembre, permet de désactiver SSL 3.0. En attendant, Mozilla recommande d'installer le (add-on site de téléchargement ), "SSL contrôle de version 0,2" (voir la figure 2), qui vous permettra de contrôler le support de SSL dans le navigateur. (Certains sites ont recommandé d'ajuster les paramètres de Firefox dans le fichier de configuration, mais Mozilla recommande l'utilisation de l'add-on à la place.)
Firefox SSL add-on
Figure 2. Pour désactiver SSL 3.0 soutien dans Firefox, Mozilla propose un navigateur add-on.
Internet Explorer: Dans IE, cliquez sur l'icône d'engrenage (Paramètres), cliquez sur Options Internet, puis sélectionnez l'onglet Avancé. Faites défiler la liste des paramètres pour la catégorie Sécurité, et ensuite chercher SSL 3.0. Décochez la case (voir Figure 3), cliquez sur OK, puis relancer IE.
administrateurs de réseau peuvent faire ce changement à tous les ordinateurs sur le réseau local via la politique du Groupe de Windows. Accédez aux paramètres d'Internet Explorer et de modifier l'objet de soutien de cryptage Éteignez (Panneau de configuration Composants Windows \ Internet Explorer \ Internet \ page Avancé).
Disable SSLv3 in IE
Figure 3. Dans IE, décochez la case "Utiliser SSL 3.0" dans la boîte de dialogue des paramètres avancés.
Microsoft a publié une sécurité initiale consultatif sur ce sujet; attendre à voir des indications supplémentaires dans un proche avenir.
Comment tester la protection TLS / SSL de votre navigateur
Plusieurs sites tester si votre navigateur prend en charge actuellement ouvert SSL 3.0. Pour un test simple, Poodletest.com affiche un caniche si votre navigateur prend en charge encore SSL 3.0, et un terrier Springfield si elle ne le fait pas.Donc vaut mieux un Terrier (TLS),qu'un vulnérable Caniche (SSL).
D'autre part, Qualys SSL Labs ( le site ) fournit une analyse plus détaillée des protocoles SSL que votre navigateur prend en charge.
Comme indiqué plus haut, certains sites commerciaux tels que les services bancaires en ligne peuvent encore besoin SSL 3.0. Encore une fois, je recommande de laisser SSL 3.0 support sur ​​un navigateur; ça va être plus rapide et plus sûr que d'ajuster à plusieurs reprises les paramètres du navigateur. Si vous utilisez un serveur Web ou un serveur de petite entreprise, vous devez désactiver le support de SSL 3.0 pour mieux protéger les postes de travail connectés et les téléphones basés sur Internet.
Une forums InfoSec communautaires Incidents.org pages listes Comment faire pour bloquer SSL 3.0 sur différentes plates-formes basées sur le Web.
Par exemple, dans Windows Server, créer (ou modifier) ​​une valeur DWORD du Registre comme suit:
  • Dans votre éditeur de registre, allez dans:
    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ \ SecurityProviders SCHANNEL \ Protocols
  • Selon les protocoles, créer une clé appelée "SSL 3.0". Puis, sous cette clé, créez une autre clé appelée "serveur".
  • Créez un DWORD nommée "Enabled" et lui donner une valeur de 0.
  • Redémarrez le serveur; vous et tous les clients connectés bénéficieront désormais du Poodle/caniche exploits.
  •  
  •  
    Poodle/Caniche est une indication claire que le système TLS / SSL nous nous appuyons sur les besoins fonctionne. En fait, l'ensemble du système des protocoles et des certificats de sécurité pourrait bien être un château de cartes. Par exemple, HP a récemment annoncé que l'un de ses certificats a été utilisé pour signer des malwares. Comme indiqué dans une Krebs sur la sécurité après , HP révoquer le 21 octobre le certificat qu'il a utilisé pour une partie du logiciel fourni avec des produits plus anciens. Malheureusement, HP est pas complètement sûr de ce que l'impact que le changement sur ​​la capacité de restaurer certains ordinateurs HP. Regardez pour mes futures mises à jour sur ce sujet.
    Un autre tour dans le duel sur la sécurité d'Internet. Comme il a été largement mentionné, Poodle/Caniche tue efficacement le protocole SSL 3.0.  Cependant, il ya une lueur d'espoir à ce dernier gâchis de sécurité - il faut maintenant forcer tout le monde sur l'Internet pour finalement abandonner, un protocole non sécurisé désuet.
  •  
  • SOURCE.: 

samedi 18 octobre 2014

SSL désuet depuis 18 ans: Voici la vulnérabilité POODLE(ouf ouf ouf)



Dans le cas où vous n'avez pas entendu, les boffins que Google ont découvert une vulnérabilité qui est assez grave.

Ce n'est pas aussi mauvais que Heartbleed ou le bug Shellshock Bash, mais ce n'est pas le genre de chose que vous voulez pas qu'un pirate malveillant peut exploiter n'importe où près de chez vous.

C'est ce qu'on appelle la vulnérabilité POODLE, ou comme j'aime à penser que c'est "le bug POODLE".

En savoir plus dans la vidéo suivante: ICI 

POODLE signifie «Padding Oracle On Downgraded Legacy Encryption", et c'est un moyen d'intercepter les communications SSL soi-disant sécurisées entre votre ordinateur et un site Web(attaque man in the middle).

Si tout fonctionne correctement, SSL doit être l'une des façons dont vos communications sur Internet sont sécurisées.

Mais POODLE fournit un moyen pour les attaquants, l'imperfection de votre ordinateur de ne pas utiliser le cryptage la plus récente et de ses communications Internet, mais utilisent le désuet SSL 3.0 à la place. Et SSL 3.0 est âgé d'environ 18 ans, il contient des bugs, et a été depuis longtemps supplanté par des technologies plus fortes.

Les bonnes nouvelles est que, contrairement a Heartbleed ou Shellshock, tous ceux qui veulent utiliser la faille POODLE ,ils doivent passer entre votre ordinateur et un site Web que vous êtes en visite. La façon la plus probable qu'ils vont faire est si vous accédez au Web en utilisant le WiFi gratuit dans un café, et ne remarquez pas le pirate assis dans le coin de la pièce - qui est en train de renifler vos données comme il vole à travers les ondes .

Ce qu'ils ne peuvent pas faire(hackers) est de vous attaquer de l'autre côté du monde.

PoodleFurthermore, il semble qu'une attaque réussi de POODLE (un caniche mord ?),est plus susceptible d'être en mesure de voler vos cookies de session, plutôt que de tout ce que vous transmettez-et-qui provient du Web

 Mais si un pirate parvient à saisir ceux-ci, ils pouvaient encore lire vos messages webmail, ou les poster tweets en votre nom, et causer toutes sortes d'autres méfaits.




Le bug internet vulnérabilité du POODLE ! Regardez cette vidéo puis vérifiez votre navigateur.comme je expliqué dans la vidéo, vous pouvez tester votre navigateur par des sites comme le www.poodletest.com toujours aussi mignon et de tester les sites visiter avec www.poodlescan.com

Voici un exemple:



Si possible, réglez la version minimale de SSL pour votre navigateur (mettons I.E.)qui soutiendra le plus sécure qui est le TLS a la version 1. Autrement dit,si ton navigateur soutient la dernière version du très sécure TLS 1.0(ci-dessus la propriété de internet explorer) ,mais que ton site web lui le SSL 3.0, bien tu es dans marde !(faut mettre minimum le SSL en version 1.0 ou 2.0 lol ! )

Scott Helme a utilement décrit comment désactiver SSL 3.0 dans tous les principaux navigateurs et plates-formes de serveur ICI .




Les modifications suivantes forcer votre navigateur à ne pas utiliser SSL 3.0. Voici ce qu'il faut régler dans les trois premiers navigateurs.
Chrome: Dans le navigateur de Google, modifier le raccourci qui lance le navigateur, l'ajout d'un drapeau à la fin du chemin de raccourci. Commencez par sélectionner l'icône normalement utilisé pour lancer Chrome. Faites un clic droit sur ​​l'icône et sélectionnez Propriétés. Sous l'onglet Raccourci, trouver la case "Cible" et insérer --ssl-version-min = TLS1 immédiatement après chrome.exe "(voir la figure 1). Elle devrait ressembler à quelque chose comme ceci (notez l'espace entre exe" et --ssl-):
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" --ssl-version-min = TLS1
(Remarque: Si votre chemin de Chrome original ne commence ni ne finit avec des guillemets, ne pas ajouter un après chrome.exe.)
Chrome TLS flag
Figure 1: Désactiver SSL 3.0 support dans Chrome en ajoutant un drapeau à la fin du chemin Propriétés / cible.
A partir de maintenant, lancer Chrome seulement avec ce raccourci modifié. Lancement du navigateur à partir des icônes de lancement inédites ne fournira pas de protection de caniche. Envisager cliquant sur ​​l'onglet Général dans la boîte de dialogue Propriétés Chrome et donner le raccourci édité un nom unique - comme «Chrome - pas SSLv3" ou quelque chose de semblable. Ensuite, vous saurez toujours vous utilisez le droit raccourci.
Firefox: Comme indiqué dans le 14 octobre Mozilla blogue poste , Firefox 34, qui devrait être publié le 25 novembre, permet de désactiver SSL 3.0. En attendant, Mozilla recommande d'installer le (add-on site de téléchargement ), "SSL contrôle de version 0,2" (voir la figure 2), qui vous permettra de contrôler le support de SSL dans le navigateur. (Certains sites ont recommandé d'ajuster les paramètres de Firefox dans le fichier de configuration, mais Mozilla recommande l'utilisation de l'add-on à la place.)
Firefox SSL add-on
Figure 2: Pour désactiver SSL 3.0 support de Firefox, Mozilla propose un navigateur add-on.
Internet Explorer: Dans Internet Explorer, cliquez sur l'icône d'engrenage (paramètres), cliquez sur Options Internet, puis sélectionnez l'onglet Avancé. Faites défiler la liste des paramètres à la catégorie de sécurité, et ensuite chercher Utiliser SSL 3.0. Décochez la case (voir la figure 3), cliquez sur OK, puis relancer IE.
administrateurs de réseau peuvent faire ce changement à tous les PC sur le réseau local via la politique du Groupe de Windows. Accédez aux paramètres d'Internet Explorer et de modifier l'objet de soutien de cryptage Éteignez (Panneau de configuration Windows Components \ Internet Explorer \ Internet \ Page avancée).
Disable SSLv3 in IE
Figure 3 Dans IE, décochez "Utiliser SSL 3.0" dans la boîte de dialogue des paramètres avancés.
Microsoft a publié une sécurité initiale consultatif sur ce sujet; s'attendre à voir des indications supplémentaires dans un proche avenir.
Comment tester la protection TLS / SSL de votre navigateur
Plusieurs sites tester si votre navigateur prend en charge actuellement ouvert SSL 3.0. Pour un simple test, Poodletest.com affiche un caniche si votre navigateur prend en charge encore SSL 3.0, et un terrier Springfield si elle n'existe pas. D'autre part, Qualys SSL Labs ( le site ) fournit une analyse plus détaillée des protocoles SSL votre navigateur prend en charge.
Comme indiqué plus haut, certains sites commerciaux tels que les services bancaires en ligne peuvent encore besoin SSL 3.0. Encore une fois, je recommande de laisser SSL 3.0 support sur ​​un navigateur; ça va être plus rapide et plus sûr que d'ajuster à plusieurs reprises les paramètres du navigateur. Si vous utilisez un serveur Web ou un serveur de petite entreprise, vous devez désactiver le support de SSL 3.0 pour mieux protéger les postes de travail connectés et les téléphones basés sur Internet.
Une forums InfoSec communautaires Incidents.org pages listes Comment faire pour bloquer SSL 3.0 sur différentes plates-formes basées sur le Web.
Par exemple, dans Windows Server, créer (ou modifier) ​​une valeur DWORD du Registre comme suit:
  • Dans votre éditeur de registre, allez dans:
    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ \ SecurityProviders SCHANNEL \ Protocols
  • Selon les protocoles, de créer une clé appelée "SSL 3.0." Puis, sous cette clé, créez une autre clé appelée "serveur".
  • Créez une valeur DWORD appelée "Enabled" et lui donner une valeur de 0.
  • Redémarrez le serveur; vous et tous les clients connectés bénéficieront désormais de caniche exploits.



REF.:

vendredi 11 avril 2014

Heartbleed: TLS supérieure a SSL ?.................OUI !

On a médiatisé la faille SSL :



Ce qu'ont disaient en 2008 sur le SSL:(sur le site de SID)
Premièrement, cette vulnérabilité n'a absolument pas fait parler d'elle ! Certes celle-ci n'est pas aussi critique que celle deOpenSSL dans Debian, mais GnuTLS est quand même très utilisée. Mais bon, il aurait sûrement suffi d'annoncer la plus grosse vulnérabilité du mois, ne pas releaser les détails, etc. pour la transformer en faille médiatisée ;) Je vous renvoie d'ailleurs sur un post plus ancien de Sid qui reprend des failles peu médiatisées et à celui de FX sur la perception des vulnérablités.
Enfin, il est envisageable que les certificats, sorte de clé de voûte de la sécurisation des données par TLS/SSL, censés être privés et très protégés, aient été rendus accessibles par la faille. Ce qui signifie que même lorsque la faille d'OpenSSL sera corrigée et la nouvelle version appliquée aux sites vulnérables, des assaillants qui ont préalablement intercepté la clé nécessaire au déchiffrement des données protégées seront encore en mesure d'y accéder.Il est conseillé de surveiller, dans les prochains jours, les annonces des sites que vous utilisez afin de s'assurer qu'ils prennent les mesures nécessaires.Microsoft, potentiellement exposé par l'entremise de son service de stockage de données en ligne OneDrive et de sa plate-forme de jeux Xbox, a indiqué dans un communiqué qu'un « petit nombre de services continuaient à être passés en revue et mis à jour avec des protections supplémentaires ».Android étant basé sur Linux, il est potentiellement vulnérable à cette faille. Et la version d’OpenSSL actuellement disponible sur Android, la 1.0.1f, est vulnérable. La faille touche toutes les versions d’OpenSSL de la 1.0.1 à la 1.0.1f. La version 1.0.1g sortie le 7 avril a permis de supprimer le bug. Mais pour être déployée sur Android, il faudra une mise à jour de la ROM du téléphone. Il ne reste plus qu’à espérer que les constructeurs jouent le jeu mais on peut craindre que certains téléphones anciens ne soient pas mis à jour et restent alors vulnérables.Comment se prémunir de la faille ?
Si votre terminal, votre ordinateur et même le serveur se lequel vous vous connectez dispose de l’ancienne version d’OpenSSL, il y a un risque. Dans le cas de votre androphone(Android,genre Samsung S4), certains, dont des éditeurs d’antivirus, ont créé des applications dédiées pour vérifier la version d’OpenSSL sur votre terminal. C’est le cas par exemple de Heartbleed Detector. Toutefois, si votre terminal ,votre Smartphone a la faille, tout dépendra de la promptitude des constructeurs(non,si la version 4,1 a 4,3 de JellyBean ,ne peut-être upgrader a Kitkat version 4,4) ,il vous faudra acheter un autre Android version 4,4 Kitkat ou bien si votre opérateurs internet par cellulaire à délivrer un correctif,ce qui est peu probable.Pourquoi ? Parce que la version des cell Android comme le Sony Xperia ZL acheté l'année passé est de la version 4,3 Jellybean et ne peut s'upgrader,car la 4,4 appelé Kitkat viens avec un nouveau smarthphone neuf.De plus la version Open SSl est la version avec faille Heartbleed ,qui est la version 1,0,1e et devrait avoir la version sécure 1,0,1g .Donc, ce qui est inclus dans Jellybean 4,3 est non upgradable.Alors si l'usagers ne fait pas de transaction bancaire dans son smartphone ,le Heartbleed Detector vous spécifira que la fonction Open SSL n'est pas activée,dans votre smartphone , Ouffffe ! Et la on ne parle pas de d,autre smartphone Android récent avec une mise a jour système non effectuée par l'usager qui doit la faire par wifi(car forfait Data cellulaire de 200 a 500 Mo/mois) et être a l'aise pour aller dans le menu ,souvent la version Android peut être a 3,2 ,............c'est bien loin du 4,4,2 de Kitkat !

Nota: Il est recommandé d’installer la dernière version en date, c’est-à-dire OpenSSL1.0.1g. Si cela n’est pas possible alors une solution alternative est de recompiler OpenSSL sans l’extension heartbeat en utilisant l’option OPENSSL_NO_HEARTBEATS.Si jamais vous opérez un site web !

Selon Bloomberg, l'Agence de sécurité nationale (NSA) qui est spéçialisé en déchiffrement,était au courant depuis deux ans de l'existence de la faille de sécurité Heartbleed. Or, la NSA, plutôt que d'alerter le public de cette vulnérabilité, aurait plutôt régulièrement exploité la faille pour obtenir des renseignements confidentiels. Interrogé par Bloomberg, un porte-parole de la NSA a toutefois refusé de confirmer ces informations.

En cas de doute, le site Filippo.io/Heartbleed permet de tester si un site est vulnérable ou non. Une liste (non exhaustive) est disponible ici. En revanche, certaines mesures nécessaires ne sont pas détectées par ce site, comme le renouvellements des certificats ou des mots de passe des administrateurs. 
Enfin, soyez particulièrement vigilants quant aux courriels que vous recevrez dans les prochains jours. Certains adeptes du phishing (vous faire croire que vous allez sur le site de votre banque, par exemple, alors qu'il s'agit d'un site pirate), pourraitutiliser certaines des données interceptées pour vous cibler.

Certains disent que GnuTLS est une alternative compatible avec la licence GPL, ce qui n'est pas le cas d'OpenSSL. Ok qu'on cite GnuTLS comme alternative, mais pas qu'on tourne la phrase de tel manière à ce que l'on croit que la licence d'OpenSSLest mal. En plus l'info de la licence de GnuTLS n'a rien à faire sur un article consacré à OpenSSL (surtout qu'a l'époque, on ne citait même pas la licence d'OpenSSLEpommate 26 jun 2005 à 00:31 (CEST).La licence d'OpenSSL1 a hérité de la licence du produit SSLeay d'Eric Young (dont le produit servi de base au projet OpenSSL en 1998). L'auteur de cette librairie ayant choisi une licence type BSD2, la licence du produit dérivé OpenSSL reste du même type.Les licences BSD ont la particularité d'être les plus permissives3 de toutes les licences car elles acceptent toutes les modifications du code source et toutes les utilisations des librairies finales (utilisation commerciale comprise) tout en interdisant le changement de licence contrairement à une licence Apache4, de plus, modifier les codes sources n'oblige pas son auteur à en diffuser le contenu contrairement à une licence type GNU5.

La licence OpenSSL accepte toute utilisation de ses sources ou binaires aux conditions suivantes :
  • le produit doit afficher (ou la documentation doit contenir) la mention suivante : "This product includes cryptographic software written by Eric Young (eay@cryptsoft.com)"
  • le produit final doit faire mention de "This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit. (http://www.openssl.org/)"
  • les codes sources peuvent être fournis mais les copyrights ne peuvent pas être modifiés
  • Le produit final ne peut pas s'appeler "OpenSSL", ni contenir ce mot sans accord préalable de l'équipe OpenSSL
  • Les termes "OpenSSL Toolkit" et "OpenSSL Project" ne peuvent être utilisés pour la promotion du produit final sans accord préalable de l'équipe OpenSSL.


Transport Layer Security (TLS), et son prédécesseur Secure Sockets Layer (SSL), sont des protocoles de sécurisation des échanges sur Internet, développés à l'origine par Netscape (SSL version 2 et SSL version 3). Il a été renommé en Transport Layer Security (TLS) par l'IETF à la suite du rachat du brevet de Netscape par l'IETF en 2001. Le groupe de travail correspondant à l'IETF a permis la création des RFC 2246 pour le TLS et RFC 4347 pour son équivalent en mode datagramme, le DTLS. Depuis son rapatriement par l'IETF, le protocole TLS a vécu deux révisions subséquentes : TLSv1.1 décrite dans la RFC 4346 et publiée en 2006 et TLSv1.2, décrite par la RFC 5246et publiée en 2008.
Il y a très peu de différences entre SSL version 3 et TLS version 1 (qui correspond à la version 3.1 du mécanisme SSL) rendant les deux protocoles non interopérables. TLS a tout de même mis en place un mécanisme de compatibilité ascendante avec SSL. En outre, TLS diffère de SSL pour la génération des clés symétriques. Cette génération est plus sécurisée dans TLS que dans SSLv3 dans la mesure où aucune étape de l'algorithme ne repose uniquement surMD5 pour lequel sont apparues des faiblesses en cryptanalyse.
Par abus de langage, on parle de SSL pour désigner indifféremment SSL ou TLS.
TLS fonctionne suivant un mode client-serveur. Il fournit les objectifs de sécurité suivants :
  • l'authentification du serveur ;
  • la confidentialité des données échangées (ou session chiffrée) ;
  • l'intégrité des données échangées ;
  • de manière optionnelle, l'authentification ou l'authentification forte du client avec l'utilisation d'un certificat numérique ;
  • la spontanéité, c'est-à-dire qu'un client peut se connecter de façon transparente à un serveur auquel il se connecte pour la première fois ;
  • la transparence, qui a contribué certainement à sa popularité : les protocoles de la couche d'application n'ont pas à être modifiés pour utiliser une connexion sécurisée par TLS. Par exemple, le protocole HTTP est identique, que l'on se connecte à un schème http ou https.

Sécurisation du protocole:

Le protocole TLS permet de créer un tunnel entre un ordinateur et un serveur. Ce tunnel sécurisé permet un échange d'informations en contournant les dispositifs de sécurité installés pour un serveur ou un ordinateur. Passant outre les systèmes de protection il est alors possible que des actions malveillantes soient menées au travers du point d'entrée du tunnel. Afin de limiter les risques, il est techniquement possible de filtrer les contenus d'un tunnel TLS par la mise en place d'un dispositif qui authentifie le client et le serveur. Deux tunnels sont alors mis en place, un depuis le client vers le dispositif d'authentification et le second du dispositif vers le serveur. Ce système permet alors une analyse et une sécurisation transparente des contenus transférés par le tunnel TLS5.
Merci pour Neel Mehta de sécurité de Google pour découvrir ce bogue et à 
Adam Langley et Bodo Moeller pour 
la préparation de la solution.
Alors a vous d'agir,................car nous assistons a une lutte des solutions pour l'encryptage sécuritaire ou a une mise a jour oublié ,et non tester depuis 2 ans ?
* Open SSl: dispose que d' un développeur à temps plein et génère moins de 2000 $ en dons par an , clairement quelque chose ne va pas.Donc, ce qui explique l'écart entre le manque d'attention aux OpenSSL et la grande fortune de Linux ? Le bon vieux manque de sensibilisation , disent les experts.Des milliers de téléviseurs vendus chaque jour sont contrôlés par Linux . Quatre-vingt- deux pour cent des systèmes informatiques performants du monde fonctionne sur Linux . Il fonctionne systèmes financiers , l'Internet et les systèmes de contrôle du trafic aérien , les smartphones Android et Kindle.Le fait que OpenSSL a échappé a cette prise de conscience a été " un gâchis ", a déclaré Jim Zemlin , le directeur exécutif de la Fondation Linux . Certains défenseurs open-source dit M. Zemlin c'est exactement ce que OpenSSL a de manquant . «OpenSSL n'a tout simplement pas eu l'avantage d'un leader comme Jim autour de lui ", a déclaré Brian Behlendorf , un membre du conseil de l'Electronic Frontier Foundation et la Fondation Mozilla , un autre projet open-source , qui gère le navigateur Firefox ." Il y a un nouvel ordre mondial où les développeurs sont devenus le nouveau roi - dirigeants et je suis juste leur lobbyiste », a déclaré M. Zemlin . " Vous avez pour financer ces projets d'une manière qui est à la hauteur de leur importance pour notre société . "

Jusqu'à ce que le bug Heartbleed a été divulgué la semaine dernière , pas beaucoup de personnes avaient entendu parler du Dr Stephen Henson , le développeur qui est la seule personne à travailler à temps plein sur OpenSSL , ou le OpenSSL Software Foundation et son directeur , Steve Marquis .M. Raymond dit qu'il y a d'autres systèmes essentiels comme le Domain Name System(DNS) , une sorte de standard pour l'Internet qui est maintenu par des bénévoles à but non lucratif et des sociétés , et le protocole Internet Time Service , une caractéristique essentielle qui permet de synchroniser les horloges des ordinateurs sur l' Internet . Échanges financiers importants dépendent de la santé de protocole , mais il est actuellement géré par un programmateur bénévole dans le Maryland ."La direction est consciente de ce problème d'incitation grave ici et nous allons y remédier ", a déclaré M. Raymond .


*Pendant ce temps la, au Au Royaume-Uni, les données de 1,5 million d'usagers du forum Mumsnet, destiné aux mamans britanniques, ont pu être dérobées par des pirates ayant tiré avantage de la faille informatique Heartbleed.

*Le 14-04-2014:


Lundi, Revenu Canada a rapporté que les numéros d'assurance sociale d'environ 900 Canadiens avaient été soutirés de ses systèmes. Tout indique que des pirates informatiques ont pu infiltrer le système informatique grâce à une faille majeure, surnommée Heartbleed.



Ce dernier affirme qu'en plus des données personnelles qui ont été volées, «d'autres fragments de données, dont certaines pourraient se rapporter à des entreprises, ont également été soutirées des systèmes».

«Dans le pire des scénarios, les numéros d'assurance sociale pourraient être utilisés pour effectuer de la fraude. Les pirates n'ont pas nécessairement eu suffisamment d'information pour faire du vol d'identité», a mentionné le spécialiste. En plus des données personnelles des contribuables qui ont été volées, «d'autres fragments de données, dont certaines pourraient se rapporter à des entreprises, ont également été soutirées des systèmes», a mentionné le commissaire.