Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé encryption. Afficher tous les messages
Aucun message portant le libellé encryption. Afficher tous les messages

vendredi 27 octobre 2023

La NSA a-t-elle intégré des portes dérobées secrètes dans les nouvelles normes de cryptage pour mieux espionner les citoyens ?

 

La NSA a-t-elle intégré des portes dérobées secrètes dans les nouvelles normes de cryptage pour mieux espionner les citoyens ?

Bien sûr.


C'est leur travail.


Lorsque je travaillais chez Cisco, afin de vendre nos outils de sécurité de cryptage VPN au gouvernement, nous devions passer une série de « tests de sécurité » appelés « norme FIPS-140 ». Il s’agissait (il a depuis été remplacé par d’autres protocoles) d’un ensemble de règles très strictes que votre code doit respecter pour garantir que « l’ennemi » ne puisse pas le compromettre. Dans le cadre de la norme, vous devez leur fournir le code afin qu'ils puissent intégrer leur propre magie dans vos produits, leur permettant de faire ce qu'ils veulent quand ils veulent qu'ils fassent quelque chose. Même les capacités des portes dérobées et des ports Tap. Si vous voulez ce marché, et que vendre au gouvernement américain est tout simplement un marché énorme avec des milliards de dollars en jeu, alors vous essayez d'obtenir ces petites lettres « FIPS-140 Certified » sur votre fiche technique. Cela nécessite même que des étiquettes d'inviolabilité soient apposées sur le produit physique et sur les trous de vis afin que si quelqu'un essaie d'ouvrir le produit (pour fixer des sondes et ainsi de suite), cette falsification soit évidente. Dans CERTAINS cas, il comprend des circuits qui font quelque chose si le boîtier est réellement ouvert. Même les petites étiquettes d’inviolabilité sont sérialisées et ne peuvent donc pas être simplement remplacées. (Sur les commandes de lancement de missiles, il y a même une « alarme anti-sabotage » qui s'allume si le panneau de commande a été accédé, même s'il est autorisé. Un produit falsifié n'est plus fiable.


Oui, c'est vrai. Le gouvernement vous espionne. Ils espionnent tout le monde. Vous ne pouvez rien y faire. Rien. Tous les gouvernements collectent un certain nombre de données sur leurs citoyens. C’est pour cela que nous avons des « casiers judiciaires ». Certains le font simplement mieux que d’autres et lorsque vous atteignez la taille des États-Unis, cela devient un effort plus sérieux. Et dans un pays capitaliste où la technologie d’espionnage ne cesse de s’améliorer, la vie privée devient une chose du passé. Chaque fois que vous sortez, chez Walmart, à un match des Celtics au Garden ou à un grand concert, des caméras intelligentes vous surveillent et capturent tout ce qui vous concerne, en particulier les choses que vous ne pouvez pas modifier, comme votre démarche, votre taille et la forme de votre corps. vos oreilles - et votre visage. Ils les stockent et s’en souviennent pour toujours et peuvent, s’ils le souhaitent, rassembler toutes ces données.


Le problème n’est PAS l’espionnage. L'espionnage est facile. Le problème est l'analyse. Même les meilleurs systèmes d’IA du marché fabriqués par Milestone ont des limites. Vous ne pouvez pas conserver des pétaoctets de données actifs. Finalement, il est enregistré sur bande et stocké quelque part dans un entrepôt d’Iron Mountain à des fins de preuve. Au bout de sept ans, il est jeté.


Ne pensez pas que la Norvège, la Chine ou même le petit Belize n’espionnent pas tout le monde : ils le font. Tout le monde le fait. La seule différence est à quel point ils sont bons dans ce domaine.


Les États-Unis sont TRÈS bons.


REF.: quora.com

mercredi 29 décembre 2021

ZD Tech : Pourquoi l'informatique quantique fait trembler les cryptographes

 

 

ZD Tech : Pourquoi l'informatique quantique fait trembler les cryptographes

Podcast : Mais pourquoi donc l’arrivée imminente d’un ordinateur quantique fait trembler le monde de la cryptographie ? Explications.

Bonjour à tous et bienvenue dans le ZD Tech, le podcast quotidien de la rédaction de ZDNet. Je m’appelle Louis Adam et aujourd’hui, je vais vous expliquer pourquoi l’arrivée imminente d’un ordinateur quantique fait trembler le monde de la cryptographie.

La cryptographie, cela n’a rien de sorcier. C’est l’ensemble des techniques qui permettent de dissimuler un message et de s’échanger des données de manière confidentielle.

La technique la plus utilisée pour cela, c’est le chiffrement. L'émetteur fait passer son message à travers un algorithme mathématique plus ou moins complexe. Cela permet de s’assurer que seules les personnes autorisées sauront le lire.

Aujourd’hui, on sait que la puissance de calcul nécessaire pour casser ce chiffrement dépasse largement les capacités des supercalculateurs traditionnels. On peut donc considérer que ces algorithmes de chiffrement offrent une protection suffisante contre les attaques.

La menace quantique

Mais l’arrivée d'ici cinq ans d’un ordinateur quantique fiable et fonctionnel pourrait changer la donne.

Microsoft, IBM et consorts travaillent d’arrache-pied sur le sujet. L’idée n’est pas de produire un ordinateur plus puissant qu’un ordinateur traditionnel. Il s’agit plutôt d’un ordinateur particulièrement efficace pour réaliser certaines tâches bien précises.

Et l’un des points forts de l’ordinateur quantique, c’est sa capacité à casser les algorithmes de chiffrement actuels.

Des algorithmes quantiques

Dans les années 90, des chercheurs ont mis au point des algorithmes quantiques capables de casser la protection des outils de chiffrement traditionnels.

Si vous êtes curieux, les algorithmes de Shor et de Grover sont les plus souvent cités en exemple.

La seule chose qui manque à ces algorithmes, c’est un ordinateur quantique capable de les faire tourner. Et cette perspective devient de plus en plus concrète.

Alors, que faire ?

Faut-il tirer définitivement un trait sur la cryptographie ? Pas tout à fait.

Plutôt que d’attendre sagement la fin du monde, les chercheurs se penchent sur l’élaboration de la cryptographie post quantique. Ils développent des outils de cryptographie capables de résister à une attaque menée par un ordinateur quantique.

Clarifions un aspect important. Il ne s’agit pas d’outils cryptographiques qui auraient besoin d’un ordinateur quantique pour fonctionner. Ces algorithmes pourront être exécutés sur un ordinateur classique.

Cryptographie vs quantique

Simplement, ces nouveaux algorithmes de cryptographie utilisent des fonctions mathématiques différentes. Des fonctions mathématiques que l’ordinateur quantique n’est pas en mesure de casser facilement.

En 2017, l’institut des standards technologiques américains a lancé un challenge mondial pour identifier et tester ces nouveaux algorithmes qui résistent aux attaques de ce type. L’objectif est de disposer d’outils pour protéger des données face à un attaquant qui aurait accès à un ordinateur quantique.

C'est donc une course contre la montre qui a lieu, entre les cryptographes d'un côté, et les chercheurs en informatique quantique de l'autre.

 

REF.:  https://www.zdnet.fr/actualites/zd-tech-pourquoi-l-informatique-quantique-fait-trembler-les-cryptographes-39933355.htm?utm_source=NL_cybersecurite&utm_medium=email&utm_campaign=ZD_NL_cybersecurite&utm_content=&utm_term=20211229

mercredi 20 mars 2019

Comment la NSA a réussi à rompre des milliards de connexions cryptées



ssh, cryptage, NSA, encryption

Oui, il semble que le mystère ait été résolu.

Nous savons que la National Security Agency (NSA) des États-Unis a le pouvoir de casser le cryptage quasi incassable utilisé sur Internet et d'intercepter près de 1 billion de connexions Internet, grâce aux révélations du dénonciateur Edward Snowden en 2013.

Cependant, nous ne savons pas exactement comment la NSA a apparemment intercepté les connexions VPN et déchiffré SSH et HTTPS, permettant à l'agence de lire des centaines de millions de courriers électroniques personnels et privés en provenance de personnes du monde entier.



À présent, les informaticiens Alex Halderman et Nadia Heninger ont présenté à la conférence ACM sur la sécurité des ordinateurs et des communications un document qui avance la théorie la plus plausible sur la manière dont la NSA a brisé le chiffrement le plus répandu utilisé sur Internet.

Selon le journal, la NSA aurait exploité les implémentations courantes de l'algorithme d'échange de clés Diffie-Hellman - un moyen courant d'échanger des clés cryptographiques sur des canaux non fiables - pour décrypter un grand nombre de connexions HTTPS, SSH et VPN.

Diffie-Hellman - le cryptage utilisé pour HTTPS, SSH et les VPN - aide les utilisateurs à communiquer en échangeant des clés cryptographiques et en les exécutant via un algorithme que personne d'autre ne connaît, à l'exception de l'expéditeur et du destinataire.



Il est décrit comme étant à l'abri de la surveillance exercée par la NSA et d'autres espions parrainés par l'État, car il faudrait des centaines, voire des milliers d'années, à eux et une somme presque inimaginable pour déchiffrer directement.


Cependant, une grave vulnérabilité dans la mise en œuvre de l'échange de clés Diffie-Hellman permet aux agences de renseignement et aux espions de percer et d'espionner des milliards de connexions cryptées.

Pour déchiffrer l'un des nombres premiers extrêmement importants d'un Diffie-Hellman dans les clés Diffie-Hellman à 1024 bits les plus utilisées, il faudrait environ un an et quelques centaines de millions de dollars.


Toutefois, selon les chercheurs, seuls quelques nombres premiers sont couramment utilisés et pourraient bien s'inscrire dans le budget de l'agence, doté de 11 milliards de dollars par an, consacré aux "capacités cryptanalytiques révolutionnaires".

    "Dans la mesure où une poignée de personnes sont si largement réutilisées, les gains en termes de connexions qu'ils pourraient déchiffrer seraient énormes", ont déclaré Alex Halderman et Nadia Heninger dans un blog publié mercredi.
 
 



    "Casser un seul nombre premier 1024 bits permettrait à la NSA de déchiffrer passivement les connexions vers les deux tiers des VPN et le quart de tous les serveurs SSH du monde. La rupture d'un second nombre premier 1024 bits permettrait l'écoute passive de connexions vers près de 20% des connexions. En d'autres termes, un investissement ponctuel dans le calcul massif permettrait d'espionner des milliards de connexions cryptées. "

Environ 92% des 1 000 millions de domaines HTTPS Alexa utilisent les deux mêmes nombres premiers pour Diffie-Hellman, ce qui permet éventuellement à l'agence de pré-calculer une fissure sur ces deux nombres premiers et de lire la quasi-totalité du trafic Internet par l'intermédiaire de ces serveurs.

    Comment l’agence de renseignement américaine a craqué et intercepté des milliards de connexions chiffrées VPN, SSH et HTTPS. Lire pour savoir ...
    Publié par The Hacker News le samedi 17 octobre 2015

Selon le duo, ce projet technologique de la NSA visant à déchiffrer la cryptographie à une échelle "n'a pas été vu depuis la cryptanalyse Enigma au cours de la Seconde Guerre mondiale".

Pour plus de détails, vous pouvez lire le texte intégral de l'article intitulé Le secret imparfait de l'avenir: Comment Diffie-Hellman échoue en pratique [PDF].


REF.:

dimanche 22 février 2015

La NSA déchiffre toute les carte SIM

Le plan démoniaque de la NSA pour déchiffrer toutes les communications mobiles

Plutôt que de s’échiner à casser les clés de chiffrement des connexions mobiles, les agences secrètes ont trouvé bien meilleure : ils les volent par millions auprès de ceux qui les fabriquent, comme par exemple Gemalto.



Une fois de plus, l’industrie des télécoms nous montre qu’elle est incapable d’assurer la sécurité de ses clients. Publiés par The Intercept, des documents d’Edward Snowden révèlent que la NSA et le GCHQ détroussent les fabricants de cartes SIM tels que Gemalto depuis au moins 2010, afin de mettre la main sur des millions de clés d’authentification censées assurer la protection des communications entre le téléphone mobile et la station de base.
En effet, chaque carte SIM est dotée d’une clé d’authentification unique baptisée « Ki » qui permet à l’opérateur de vérifier l’identité de l’abonné au moment où celui-ci se connecte au réseau : la station de base envoie un message aléatoire au terminal qui le renvoie après l’avoir chiffré avec la clé Ki. L’opérateur, qui détient également la clé Ki, procède à la même opération, puis compare les deux résultats : s’ils sont égaux, bingo, l’utilisateur est connecté.

Les gardiens des clés pas très vigilants

Mais la clé « Ki » ne sert pas seulement à authentifier l’utilisateur, elle est également utilisée pour générer la clé dite « Kc » qui est différente à chaque connexion et qui servira à chiffrer les communications entre le terminal et la station de base. Or, celui qui connait « Ki » peut retrouver « Kc », et donc déchiffrer les communications.
agrandir la photo
On comprend bien l’intérêt pour la NSA de mettre la main sur ces fameuses clés d’authentification : les agents secrets n’ont ainsi plus qu’à intercepter de manière passive les ondes radio à un endroit donné, les stocker dans une base de données puis les consulter tranquillement, quand ils le souhaitent. Les ambassades américaines à Paris ou Berlin sont, par exemple, suffisamment proches des sites gouvernementaux pour réaliser ce type d’interception.
Mais comment la NSA et le GCHQ ont-ils réussi à voler ces clés ? Ces dernières sont générées par les fabricants de cartes SIM. Chacune est codée directement dans une partie théoriquement inviolable de la mémoire de la puce. Mais une copie est transmise à l’opérateur, qui en a besoin pour vérifier l’identité de l’utilisateur. Et c’est là que le bât blesse : les documents d’Edward Snowden montrent que cette transmission est faite un peu à la légère, par e-mail ou FTP, avec un faible niveau de protection, voire aucun. Il suffit donc d’identifier les bonnes personnes dans les bonnes entreprises, et c’est le jackpot.

Siphonnage industriel

D’ailleurs, les agences américaines et britanniques n’y sont pas allées avec le dos de la cuillère. Gemalto, qui est le plus grand fournisseur de cartes SIM dans le monde, a été complètement piraté, à coup d’interceptions et de malwares. « Nous pensons avoir la totalité du réseau », peut-on lire dans l’un des documents. Interrogé par The Intercept, la direction de Gemalto se montre abasourdie par cette révélation. Visiblement, personne n’a rien remarqué. Mais le champion de la carte à puce n’était pas le seul en ligne de mire. Les agents secrets ont également ciblés des concurrents comme Bluefish et Giesecke & Devient, des fabricants de terminaux comme Nokia et Ericsson, des opérateurs comme Belgacom ou Irancell, etc. Tout était bon à prendre pour récolter ces fameuses clés, et de manière quasi-industrielle.
agrandir la photo
Combien en ont-ils récupérés ? Selon les documents d’Edward Snowden, plusieurs millions de clés ont pu être volées en l’espace de trois mois en 2010. A cette époque, la NSA précisait qu’elle était capable de de traiter et archiver entre 12 et 22 millions de clés... par seconde. Et que son objectif était d’arriver à 50 millions. Cette énorme capacité de traitement laisse imaginer le pire. NSA et GCHQ ont peut-être d’ores et déjà la main sur la majorité des clés de cartes SIM dans le monde.
Face à ces révélations, la conclusion est que les communications mobiles ne peuvent plus être considérées comme sécurisées. Ceux qui ont besoin de transmettre des données confidentielles ont intérêt à utiliser des solutions telles que Silent Circle, Cryptocat, TextSecure, Red Phone, OTR, etc. Ces solutions ont l’avantage de chiffrer les communications de bout en bout, avec des techniques avancées comme Perfect Forward Security, qui mettent à l’abri l’utilisateur même si les clés de chiffrement sont volées.   

Source.:

vendredi 11 avril 2014

Heartbleed: TLS supérieure a SSL ?.................OUI !

On a médiatisé la faille SSL :



Ce qu'ont disaient en 2008 sur le SSL:(sur le site de SID)
Premièrement, cette vulnérabilité n'a absolument pas fait parler d'elle ! Certes celle-ci n'est pas aussi critique que celle deOpenSSL dans Debian, mais GnuTLS est quand même très utilisée. Mais bon, il aurait sûrement suffi d'annoncer la plus grosse vulnérabilité du mois, ne pas releaser les détails, etc. pour la transformer en faille médiatisée ;) Je vous renvoie d'ailleurs sur un post plus ancien de Sid qui reprend des failles peu médiatisées et à celui de FX sur la perception des vulnérablités.
Enfin, il est envisageable que les certificats, sorte de clé de voûte de la sécurisation des données par TLS/SSL, censés être privés et très protégés, aient été rendus accessibles par la faille. Ce qui signifie que même lorsque la faille d'OpenSSL sera corrigée et la nouvelle version appliquée aux sites vulnérables, des assaillants qui ont préalablement intercepté la clé nécessaire au déchiffrement des données protégées seront encore en mesure d'y accéder.Il est conseillé de surveiller, dans les prochains jours, les annonces des sites que vous utilisez afin de s'assurer qu'ils prennent les mesures nécessaires.Microsoft, potentiellement exposé par l'entremise de son service de stockage de données en ligne OneDrive et de sa plate-forme de jeux Xbox, a indiqué dans un communiqué qu'un « petit nombre de services continuaient à être passés en revue et mis à jour avec des protections supplémentaires ».Android étant basé sur Linux, il est potentiellement vulnérable à cette faille. Et la version d’OpenSSL actuellement disponible sur Android, la 1.0.1f, est vulnérable. La faille touche toutes les versions d’OpenSSL de la 1.0.1 à la 1.0.1f. La version 1.0.1g sortie le 7 avril a permis de supprimer le bug. Mais pour être déployée sur Android, il faudra une mise à jour de la ROM du téléphone. Il ne reste plus qu’à espérer que les constructeurs jouent le jeu mais on peut craindre que certains téléphones anciens ne soient pas mis à jour et restent alors vulnérables.Comment se prémunir de la faille ?
Si votre terminal, votre ordinateur et même le serveur se lequel vous vous connectez dispose de l’ancienne version d’OpenSSL, il y a un risque. Dans le cas de votre androphone(Android,genre Samsung S4), certains, dont des éditeurs d’antivirus, ont créé des applications dédiées pour vérifier la version d’OpenSSL sur votre terminal. C’est le cas par exemple de Heartbleed Detector. Toutefois, si votre terminal ,votre Smartphone a la faille, tout dépendra de la promptitude des constructeurs(non,si la version 4,1 a 4,3 de JellyBean ,ne peut-être upgrader a Kitkat version 4,4) ,il vous faudra acheter un autre Android version 4,4 Kitkat ou bien si votre opérateurs internet par cellulaire à délivrer un correctif,ce qui est peu probable.Pourquoi ? Parce que la version des cell Android comme le Sony Xperia ZL acheté l'année passé est de la version 4,3 Jellybean et ne peut s'upgrader,car la 4,4 appelé Kitkat viens avec un nouveau smarthphone neuf.De plus la version Open SSl est la version avec faille Heartbleed ,qui est la version 1,0,1e et devrait avoir la version sécure 1,0,1g .Donc, ce qui est inclus dans Jellybean 4,3 est non upgradable.Alors si l'usagers ne fait pas de transaction bancaire dans son smartphone ,le Heartbleed Detector vous spécifira que la fonction Open SSL n'est pas activée,dans votre smartphone , Ouffffe ! Et la on ne parle pas de d,autre smartphone Android récent avec une mise a jour système non effectuée par l'usager qui doit la faire par wifi(car forfait Data cellulaire de 200 a 500 Mo/mois) et être a l'aise pour aller dans le menu ,souvent la version Android peut être a 3,2 ,............c'est bien loin du 4,4,2 de Kitkat !

Nota: Il est recommandé d’installer la dernière version en date, c’est-à-dire OpenSSL1.0.1g. Si cela n’est pas possible alors une solution alternative est de recompiler OpenSSL sans l’extension heartbeat en utilisant l’option OPENSSL_NO_HEARTBEATS.Si jamais vous opérez un site web !

Selon Bloomberg, l'Agence de sécurité nationale (NSA) qui est spéçialisé en déchiffrement,était au courant depuis deux ans de l'existence de la faille de sécurité Heartbleed. Or, la NSA, plutôt que d'alerter le public de cette vulnérabilité, aurait plutôt régulièrement exploité la faille pour obtenir des renseignements confidentiels. Interrogé par Bloomberg, un porte-parole de la NSA a toutefois refusé de confirmer ces informations.

En cas de doute, le site Filippo.io/Heartbleed permet de tester si un site est vulnérable ou non. Une liste (non exhaustive) est disponible ici. En revanche, certaines mesures nécessaires ne sont pas détectées par ce site, comme le renouvellements des certificats ou des mots de passe des administrateurs. 
Enfin, soyez particulièrement vigilants quant aux courriels que vous recevrez dans les prochains jours. Certains adeptes du phishing (vous faire croire que vous allez sur le site de votre banque, par exemple, alors qu'il s'agit d'un site pirate), pourraitutiliser certaines des données interceptées pour vous cibler.

Certains disent que GnuTLS est une alternative compatible avec la licence GPL, ce qui n'est pas le cas d'OpenSSL. Ok qu'on cite GnuTLS comme alternative, mais pas qu'on tourne la phrase de tel manière à ce que l'on croit que la licence d'OpenSSLest mal. En plus l'info de la licence de GnuTLS n'a rien à faire sur un article consacré à OpenSSL (surtout qu'a l'époque, on ne citait même pas la licence d'OpenSSLEpommate 26 jun 2005 à 00:31 (CEST).La licence d'OpenSSL1 a hérité de la licence du produit SSLeay d'Eric Young (dont le produit servi de base au projet OpenSSL en 1998). L'auteur de cette librairie ayant choisi une licence type BSD2, la licence du produit dérivé OpenSSL reste du même type.Les licences BSD ont la particularité d'être les plus permissives3 de toutes les licences car elles acceptent toutes les modifications du code source et toutes les utilisations des librairies finales (utilisation commerciale comprise) tout en interdisant le changement de licence contrairement à une licence Apache4, de plus, modifier les codes sources n'oblige pas son auteur à en diffuser le contenu contrairement à une licence type GNU5.

La licence OpenSSL accepte toute utilisation de ses sources ou binaires aux conditions suivantes :
  • le produit doit afficher (ou la documentation doit contenir) la mention suivante : "This product includes cryptographic software written by Eric Young (eay@cryptsoft.com)"
  • le produit final doit faire mention de "This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit. (http://www.openssl.org/)"
  • les codes sources peuvent être fournis mais les copyrights ne peuvent pas être modifiés
  • Le produit final ne peut pas s'appeler "OpenSSL", ni contenir ce mot sans accord préalable de l'équipe OpenSSL
  • Les termes "OpenSSL Toolkit" et "OpenSSL Project" ne peuvent être utilisés pour la promotion du produit final sans accord préalable de l'équipe OpenSSL.


Transport Layer Security (TLS), et son prédécesseur Secure Sockets Layer (SSL), sont des protocoles de sécurisation des échanges sur Internet, développés à l'origine par Netscape (SSL version 2 et SSL version 3). Il a été renommé en Transport Layer Security (TLS) par l'IETF à la suite du rachat du brevet de Netscape par l'IETF en 2001. Le groupe de travail correspondant à l'IETF a permis la création des RFC 2246 pour le TLS et RFC 4347 pour son équivalent en mode datagramme, le DTLS. Depuis son rapatriement par l'IETF, le protocole TLS a vécu deux révisions subséquentes : TLSv1.1 décrite dans la RFC 4346 et publiée en 2006 et TLSv1.2, décrite par la RFC 5246et publiée en 2008.
Il y a très peu de différences entre SSL version 3 et TLS version 1 (qui correspond à la version 3.1 du mécanisme SSL) rendant les deux protocoles non interopérables. TLS a tout de même mis en place un mécanisme de compatibilité ascendante avec SSL. En outre, TLS diffère de SSL pour la génération des clés symétriques. Cette génération est plus sécurisée dans TLS que dans SSLv3 dans la mesure où aucune étape de l'algorithme ne repose uniquement surMD5 pour lequel sont apparues des faiblesses en cryptanalyse.
Par abus de langage, on parle de SSL pour désigner indifféremment SSL ou TLS.
TLS fonctionne suivant un mode client-serveur. Il fournit les objectifs de sécurité suivants :
  • l'authentification du serveur ;
  • la confidentialité des données échangées (ou session chiffrée) ;
  • l'intégrité des données échangées ;
  • de manière optionnelle, l'authentification ou l'authentification forte du client avec l'utilisation d'un certificat numérique ;
  • la spontanéité, c'est-à-dire qu'un client peut se connecter de façon transparente à un serveur auquel il se connecte pour la première fois ;
  • la transparence, qui a contribué certainement à sa popularité : les protocoles de la couche d'application n'ont pas à être modifiés pour utiliser une connexion sécurisée par TLS. Par exemple, le protocole HTTP est identique, que l'on se connecte à un schème http ou https.

Sécurisation du protocole:

Le protocole TLS permet de créer un tunnel entre un ordinateur et un serveur. Ce tunnel sécurisé permet un échange d'informations en contournant les dispositifs de sécurité installés pour un serveur ou un ordinateur. Passant outre les systèmes de protection il est alors possible que des actions malveillantes soient menées au travers du point d'entrée du tunnel. Afin de limiter les risques, il est techniquement possible de filtrer les contenus d'un tunnel TLS par la mise en place d'un dispositif qui authentifie le client et le serveur. Deux tunnels sont alors mis en place, un depuis le client vers le dispositif d'authentification et le second du dispositif vers le serveur. Ce système permet alors une analyse et une sécurisation transparente des contenus transférés par le tunnel TLS5.
Merci pour Neel Mehta de sécurité de Google pour découvrir ce bogue et à 
Adam Langley et Bodo Moeller pour 
la préparation de la solution.
Alors a vous d'agir,................car nous assistons a une lutte des solutions pour l'encryptage sécuritaire ou a une mise a jour oublié ,et non tester depuis 2 ans ?
* Open SSl: dispose que d' un développeur à temps plein et génère moins de 2000 $ en dons par an , clairement quelque chose ne va pas.Donc, ce qui explique l'écart entre le manque d'attention aux OpenSSL et la grande fortune de Linux ? Le bon vieux manque de sensibilisation , disent les experts.Des milliers de téléviseurs vendus chaque jour sont contrôlés par Linux . Quatre-vingt- deux pour cent des systèmes informatiques performants du monde fonctionne sur Linux . Il fonctionne systèmes financiers , l'Internet et les systèmes de contrôle du trafic aérien , les smartphones Android et Kindle.Le fait que OpenSSL a échappé a cette prise de conscience a été " un gâchis ", a déclaré Jim Zemlin , le directeur exécutif de la Fondation Linux . Certains défenseurs open-source dit M. Zemlin c'est exactement ce que OpenSSL a de manquant . «OpenSSL n'a tout simplement pas eu l'avantage d'un leader comme Jim autour de lui ", a déclaré Brian Behlendorf , un membre du conseil de l'Electronic Frontier Foundation et la Fondation Mozilla , un autre projet open-source , qui gère le navigateur Firefox ." Il y a un nouvel ordre mondial où les développeurs sont devenus le nouveau roi - dirigeants et je suis juste leur lobbyiste », a déclaré M. Zemlin . " Vous avez pour financer ces projets d'une manière qui est à la hauteur de leur importance pour notre société . "

Jusqu'à ce que le bug Heartbleed a été divulgué la semaine dernière , pas beaucoup de personnes avaient entendu parler du Dr Stephen Henson , le développeur qui est la seule personne à travailler à temps plein sur OpenSSL , ou le OpenSSL Software Foundation et son directeur , Steve Marquis .M. Raymond dit qu'il y a d'autres systèmes essentiels comme le Domain Name System(DNS) , une sorte de standard pour l'Internet qui est maintenu par des bénévoles à but non lucratif et des sociétés , et le protocole Internet Time Service , une caractéristique essentielle qui permet de synchroniser les horloges des ordinateurs sur l' Internet . Échanges financiers importants dépendent de la santé de protocole , mais il est actuellement géré par un programmateur bénévole dans le Maryland ."La direction est consciente de ce problème d'incitation grave ici et nous allons y remédier ", a déclaré M. Raymond .


*Pendant ce temps la, au Au Royaume-Uni, les données de 1,5 million d'usagers du forum Mumsnet, destiné aux mamans britanniques, ont pu être dérobées par des pirates ayant tiré avantage de la faille informatique Heartbleed.

*Le 14-04-2014:


Lundi, Revenu Canada a rapporté que les numéros d'assurance sociale d'environ 900 Canadiens avaient été soutirés de ses systèmes. Tout indique que des pirates informatiques ont pu infiltrer le système informatique grâce à une faille majeure, surnommée Heartbleed.



Ce dernier affirme qu'en plus des données personnelles qui ont été volées, «d'autres fragments de données, dont certaines pourraient se rapporter à des entreprises, ont également été soutirées des systèmes».

«Dans le pire des scénarios, les numéros d'assurance sociale pourraient être utilisés pour effectuer de la fraude. Les pirates n'ont pas nécessairement eu suffisamment d'information pour faire du vol d'identité», a mentionné le spécialiste. En plus des données personnelles des contribuables qui ont été volées, «d'autres fragments de données, dont certaines pourraient se rapporter à des entreprises, ont également été soutirées des systèmes», a mentionné le commissaire.