Faille Heartbleed : testez la vulnérabilité de vos services en ligne

Plusieurs sites proposent des outils d’analyse gratuits pour savoir si un service en ligne est correctement sécurisé vis-à-vis de l'inquiétante faille OpenSSL. A consulter si vous êtes du genre anxieux.Mais vous auriez dû paniquer ,il y a deux ans ,gagne de zoufffe!

C'est une question extrêmement grave , qui touche quelque 500 000 serveurs , selon Netcraft , une firme de recherche sur Internet . Voici ce que vous pouvez faire pour vous assurer que votre information est protégée , selon les experts de sécurité contactés par CNET :Gardez un oeil sur les états financiers pour les prochains jours . Parce que les attaquants peuvent accéder à la mémoire d'un serveur d'information de carte de crédit , il ne serait pas mal d'être à l'affût des frais inconnus sur vos relevés bancaires .La réponse naturelle serait de vouloir changer les mots de passe immédiatement, mais les experts en sécurité suggérer attendre la confirmation d'un correctif , car outre l'activité sur un site vulnérable pourrait exacerber le problème .

Même après avoir suivi ces lignes directrices , il ya encore du degré de risque en surfant sur le Web à la suite de l'insecte . Heartbleed dit même d'affecter les cookies du navigateur , qui permettent de suivre l'activité des utilisateurs sur un site , de sorte que même la visite d'un site vulnérable sans se connecter pourrait être risqué .

Révélée hier par un groupe de chercheurs en sécurité, l’énorme faille « Heartbleed » a créé un véritable branle-bas de combat parmi les administrateurs système, pour patcher au plus vite leurs serveurs. Car, évidemment, personne n’a envie d’être épinglé sur Twitter pour avoir des services en ligne mal sécurisés. C’est d’ailleurs ce qui est arrivé à Yahoo, qui s’est fait hacker en beauté par Fox-IT, une société spécialisée en cybersécurité. Preuve, d'ailleurs, que l'exploitation de cette faille n'est pas si compliquée. Depuis, Yahoo a mis à jour ses serveurs. 

Pour savoir si les services en ligne que vous utilisez sont bien sécurisés, c’est simple : il suffit de faire le test. Plusieurs développeurs ont créé des analyseurs protocolaires taillés sur mesure pour détecter une éventuelle vulnérabilité. L’italien Filippo Valsorda a créé le pagefilippo.io/Heartbleed. Il suffit de rentrer une URL pour savoir si le serveur associé est vulnérable ou non. La société lituanienne Possible a également créé un outil d’analyse (possible.lv/tools/hb/). Il est légèrement plus complet quant au bilan de vulnérabilité. Enfin, la société française Qualys a également intégré un test de vulnérabilité Heartbeat dans son outil d’analyse SSL Server Test. Celui-ci fait un check-up complet de la sécurité SSL d’un site web.

Les géants du web - Google, Facebook, Twitter, Amazon... - sont tous protégés. Le web français a également bien réagi. Nous avons testé toute une série de sites français dans le domaine bancaire, de l’e-commerce ou de la messagerie. Tous ont été patchés. Bravo. Certains sites Web qui semblent avoir été touchés inclus Yahoo et OKCupid.Imgur , le site de partage de photos fréquentées par les utilisateurs de Reddit aussi.

Un avis de Cisco publié jeudi la liste de 11 produits et services que les deux vulnérables à la faille , ainsi que plus de 60 autres considérés comme « victime» que l'enquête de la faille continuer . La plupart des produits de la liste concernent des produits de collaboration de Cisco tels que les téléphones IP et les serveurs de communication . Les services de messagerie réputés vulnérables - enregistré enveloppe service de Cisco ( CRES ) et Webex Messenger Service - ont déjà été patché , a indiqué la compagnie .Oui,car le 7 avril 2014, la société de sécurité CODENOMICON Defensics découvre la très importante faille Heartbleed2,3 qu'elle dévoile à travers le site dédié2. La faille permettrait de récupérer le contenu de la mémoire du serveur, entre autre des messages sécurisés (par exemple des transactions bancaires), mais aussi des clés de chiffrement SSL primaires et secondaires elles-mêmes, en ne laissant aucune trace numérique4. Les certificats de sécurité seraient aussi mis en danger, puisque des pirates pourraient les intercepter et s'en servir même après que les sites aient réparé la faille5. De nombreux sites internet grand public, entre autres Wikipédia, Yahoo! et Flickr, sont affectés et recommandent à leurs utilisateurs de ne pas se connecter à leurs services le temps que des mises à jours soient effectuées6.

ICI la liste des sites patché ou sécuritaire !

Vous pouvez rechercher des applications de cloud computing d'entreprise spécifiques de l'index de Netskope qui restent vulnérables ici .

Etes-vous vulnérable ?

Beaucoup de petits sites web sont vulnérables!

Plusieurs sites Internet proposent de saisir l’url du site que vous souhaitez vérifier afin de vous indiquer s’ils sont vulnérables ou non.

Nous attirons toutefois votre attention sur le fait qu’il est important de ne pas tester la sécurité de vos sites par des outils en ligne non maitrisés (aucune garantie ne peut être faite sur les données récoltées). C’est la raison pour laquelle Lexsi propose un outil de test adapté dans le cadre de service de gestion des vulnérabilités Argos.

Recommandations

Il est recommandé d’installer la dernière version en date, c’est-à-dire OpenSSL1.0.1g. Si cela n’est pas possible alors une solution alternative est de recompiler OpenSSL sans l’extension heartbeat en utilisant l’option OPENSSL_NO_HEARTBEATS.

De plus, le changement des données d’authentification HTTP (Basic / Digest) est vivement conseillé ainsi que le changement des mots de passe des comptes applicatifs.

Enfin, il est également recommandé de régénérer tous les certificats par précaution.

Note : Les plateformes telles que Google, Facebook ou encore Twitter ne semblent pas affectées par cette vulnérabilité à l’inverse de Yahoo qui était vulnérable le mardi 8 Avril 2014 (corrigé le lendemain). Certains sites comme Paypal, Amazon ou Yahoo ont par ailleurs décidé d’expliquer à leurs utilisateurs les contremesures déployées pour lutter contre Heartbleed, là ou d’autres sites tels que CloudFlare ou Tumblr ont simplement signalés avoir patché OpenSSL.  Quoique Revenu Canada a fermé son site internet(ah oui,.......comme la dernière faille précédente,non corrigée),Strike deux,.............  !$!

Ce qu'ont disaient en 2008 sur le SSL:(sur le site de SID)
Premièrement, cette vulnérabilité n'a absolument pas fait parler d'elle ! Certes celle-ci n'est pas aussi critique que celle deOpenSSL dans Debian, mais GnuTLS est quand même très utilisée. Mais bon, il aurait sûrement suffi d'annoncer la plus grosse vulnérabilité du mois, ne pas releaser les détails, etc. pour la transformer en faille médiatisée ;) Je vous renvoie d'ailleurs sur un post plus ancien de Sid qui reprend des failles peu médiatisées et à celui de FX sur la perception des vulnérablités.


Le 01 Mars 2014:
Le spécialiste en cybersécurité Hold Security affirme avoir découvert sur divers marchés noirs en ligne un stock de 360 millions d’identifiants obtenues suite à plusieurs cyberattaques qui n’auraient pas encore été rendues publiques.

Comptes en banques, réseaux d'entreprises visés ? Entre les mains des pirates, ces données sont considérées comme beaucoup plus dangereuses que les coordonnées de cartes bancaires, surtout lorsque les usagers se servent des mêmes identifiants et mots de passe, ce qui est souvent le cas. Selon Hold Security, cela pourrait notamment permettre d’accéder à des comptes en banque, des réseaux d’entreprise ou des données médicales.  REF.:

Au Royaume-Uni, les données de 1,5 million d'usagers du forum Mumsnet, destiné aux mamans britanniques, ont pu être dérobées par des pirates ayant tiré avantage de la faille informatique Heartbleed.

Le 14-04-2014:


Lundi, Revenu Canada a rapporté que les numéros d'assurance sociale d'environ 900 Canadiens avaient été soutirés de ses systèmes. Tout indique que des pirates informatiques ont pu infiltrer le système informatique grâce à une faille majeure, surnommée Heartbleed.



Ce dernier affirme qu'en plus des données personnelles qui ont été volées, «d'autres fragments de données, dont certaines pourraient se rapporter à des entreprises, ont également été soutirées des systèmes».
«Dans le pire des scénarios, les numéros d'assurance sociale pourraient être utilisés pour effectuer de la fraude. Les pirates n'ont pas nécessairement eu suffisamment d'information pour faire du vol d'identité», a mentionné le spécialiste. En plus des données personnelles des contribuables qui ont été volées, «d'autres fragments de données, dont certaines pourraient se rapporter à des entreprises, ont également été soutirées des systèmes», a mentionné le commissaire.

REF.:

Physique quantique pour les nuls..

Tout est dans l'observateur : l'observateur en dedans de l'expérience,influence le résultat !
Quand tu regarde pas ,il y a des ondes de possibilité et quand tu regarde , il y a des particules d'expérience !

REF.:

USB : Connecteur USB Type C Superspeed USB 3.1,avec un débit de 10 Gbit/s.

D’ici à fin 2014,............ une nouvelle prise USB devrait apparaître dans nos appareils. Elle sera compacte et réversible, et permettra un débit de 10 Gbit/s. Voici les premières images.Le prochain connecteur USB sera réversible

Ceux d’entre vous qui utilisent les récents terminaux mobiles d’Apple ont certainement l’un des aspects pratiques du connecteur propriétaire Lightning : sa réversibilité. Il n’y a ni de haut, ni de bas, ce qui facilite sa connexion avec le terminal. Cet avantage se retrouvera bientôt dans le monde plus standard de l’USB.

A l’occasion de la conférence Intel Developer Forum 2014 à Shenzhen (Chine), des responsables du consortium USB ont présenté le futur connecteur USB Type C qui, contrairement aux connecteurs de type A ou B, sera réversible. Il sera également plus compact. Une prise femelle USB Type C ne nécessitera qu’une ouverture de 8,3 x 2,5 mm. C’est beaucoup moins que l’USB Type A (celui qu’on trouve sur les PC), qui se branche dans une ouverture de 12,5 x 5,12 mm. C’est un peu plus que l’USB Micro-B (souvent utilisé pour les smartphones et communément appelé "microUSB") qui nécessite une cavité de 6,9 x 1,85 mm. Les spécifications de ce nouveau standard, déjà annoncées en décembre dernier, devraient être finalisées d’ici à juillet 2014. Les premières prises USB Type C devraient, du coup, apparaître dans les produits informatiques d’ici à la fin l’année.

Les responsables du consortium USB ont profité de la conférence Intel pour montrer une première représentation graphique du nouveau connecteur, tel qu’il devrait être :

agrandir la photo

Outre la réversibilité, l’USB Type C présente également d’autres avantages. Il supportera le débit du standard Superspeed USB 3.1, soit 10 Gbit/s. C’est deux fois plus que l’USB 3.0 et vingt fois plus rapide que l'USB 2.0, que l’on trouvent actuellement dans le commerce. Le nouveau connecteur permettra également de fournir une alimentation électrique de 3 ou 5 Ampères pour les appareils portables. Enfin, il fera « clic » quand il sera enfoncé, et il est suffisamment solide pour pouvoir le faire 10.000 fois de suite sans faiblir.

Connecteurs USB

De gauche à droite : micro B mâle, UC-E6 propriétaire (pas USB), mini B mâle 5 pin, A femelle, A mâle et B mâle.

agrandir la photo

L’objectif de l’USB Type C est de s’accommoder mieux aux nouveaux designs matériels et d’améliorer l’usage de l’USB. Les ingénieurs du consortium USB espèrent qu’il permettra, avec son côté universel, de  rationaliser la gamme de connecteurs, ce qui serait assez souhaitable. Toutefois, il est peu probable que ce nouveau câble USB remplacera subitement ses ancêtres. Les consommateurs vont donc devoir jongler, au moins pendant un certain temps, avec un connecteur supplémentaire dans leur boîte à câbles.

En tout cas, cela va dans le sens du Parlement Européen qui veut imposer un chargeur (donc un connecteur) universel.

Lire aussi:

Le nouveau connecteur USB s’inspire du Lightning d’Apple, le 04/12/2013

REF.:

On n'arrêtera pas la multiplication des blogs

Jean-Pierre Elkabbach s'inquiète de l'avenir du métier de journaliste à l'ère du Web participatif (Le Monde du 4 janvier). Il a raison. Mais la solution ne saurait setrouver dans une appellation journalistique contrôlée (par qui ?). Le Web 2.0 n'est pas une déontologie, c'est un outil qui a déjà tout changé. Qu'on le veuille ou non, le temps où une petite élite journalistique décidait de ce qui se dit et ne se dit pas et de qui a le droit de le dire est déjà révolu.

Sur le Net, rien n'est jamais définitif. Tout est soumis à la critique en temps réel. Les citoyens ne veulent plus, par exemple, qu'on leur dise qui a ou non les qualités requises pour être candidat aux élections. L'une des raisons pour lesquelles laFrance compte un tel nombre de blogs - et probablement davantage qu'aux Etats-Unis si on le rapporte au nombre d'habitants - s'explique par la déception des citoyens vis-à-vis des médias "dominants".

Davantage que d'une "évolution" du journalisme, il s'agit plutôt d'un retour aux sources, avec des moyens artisanaux. Les blogs permettent, pour un coût quasi nul, de s'adresser à un large public devant lequel notre responsabilité personnelle est engagée. Sur Internet, comme chacun le sait, le "pire" côtoie le meilleur. Mais, après tout, ce n'est pas le privilège des blogs ! A terme, les réputations, bonnes ou mauvaises, redistribueront les cartes aussi sur Internet.

APPRENDRE À FAIRE LE TRI

En principe, nous autres journalistes ne publions rien qui n'ait été préalablement vérifié et recoupé. Mais il faut parfois aller chercher dans des journaux étrangers des informations sur notre propre vie politique ! C'est ce que le public reproche aux journalistes français en se tournant vers Internet, où il a l'impression qu'en tout cas, même s'il peut être abusé, on ne lui cache rien. A lui d'apprendre à faire le tri ou à qui s'adresser pour l'aider à le faire.

Prenons deux exemples "limites" du défi qui est lancé aux journalistes : les internautes sont particulièrement friands des théories conspirationnistes sur les événements du 11 septembre 2001. Ces thèses sont particulièrement perverses et difficiles à contester. Aucun journaliste sérieux ne peut les cautionner. Maisexciper de sa qualité et de sa déontologie journalistique ne suffit pas. A terme, il faut parier sur l'intelligence et ne pas donner l'impression de vouloir cacherquelque chose.

Deuxième exemple : les images de la pendaison de Saddam Hussein tournées sur un téléphone portable et diffusées sur Internet. L'accession du grand public aux nouvelles technologies a rendu caduc le débat déontologique sur les images que l'on peut montrer ou pas. Mieux : ces images, en montrant cette exécution sous son véritable jour, ont dit la vérité et découragé toute tentative d'écrire une version officielle. Mais ces images ne rendent pas superflue une enquêtejournalistique sur les circonstances de la pendaison, chose qui n'est pas à la portée de n'importe quel blogueur propriétaire d'un téléphone mobile.

Prenons, enfin, l'argument de la gratuité. Il a déjà été utilisé contre la presse gratuite. Elle était censée constituer une concurrence déloyale aux "vrais" journalistes. Or il est prouvé qu'elle a attiré un nouveau lectorat. Certes, tout ce qui est de bonne qualité a un coût. Mais c'est aux diffuseurs de rendre solvable la demande d'information. Après tout, il n'est pas nécessaire de payer avant depouvoir écouter la radio !

La publicité est un moyen détourné de faire payer l'élaboration de l'information par le consommateur. Comme les radios "libres" dans les années 1980, le Web 2.0 est en train d'obliger les journalistes à se remettre en question. Et tant mieux. Il est illusoire de prétendre arrêter ce mouvement, comme il est vain de vouloir stopper la mondialisation économique. Est-ce qu'on arrête le courant avec ses mains ? Il vaut mieux apprendre à nager !

---

REF.:  Sylvain Attal est journaliste à France 24 et blogueur.