Bonjour
 
Je suis étonné que personne n'en parle alors je m'y colle. Il s'agit d'une faille énorme dans OpenSSL :
https://www.openssl.org/news/secadv_20140407.txt
https://www.cert.fi/en/reports/2014 [...] 88210.html
 
En résumé : depuis 2012, ce bug permet de télécharger la clef privée des certificats sur les serveurs HTTPS gérés par OpenSSL.
 
Je vous laisse deviner ce qu'il est possible de faire avec des clefs privés de certificats SSL.
Enormément de sites ont été et sont encore touchés : google, yahoo, instagram, twitter, dropbox, etc
L'exploitation de ce bug ne laisse pas de trace dans les logs.
 
Un site dédié au bug :
http://heartbleed.com
 
Le code corrigé :
https://github.com/openssl/openssl/ [...] b11c44aead
 
Et vous alors ? Etes-vous impactés ? Qu'avez-vous fait ?

Un lien pour tester si un site est impacté :
 
https://www.ssllabs.com/ssltest/analyze.html?
 
Pour ma part, j'obtiens "This server is not vulnerable to the Heartbleed attack. (Experimental)"

Je préfère cette outil plus rapide pour tester la vulnérabilité :
http://filippo.io/Heartbleed/
 
Cloudflare a émis des doutes sur la possibilité de copier les clefs privées, ils ont dont mis en place un challenge avec un serveur de test :
https://www.cloudflarechallenge.com/heartbleed
Deux personnes ont réussi le challenge, les clefs ont été copiées.

Plus précisément le bug n'est la récupération de la clé privée. C'est une faille qui permet d'accéder à une partie de la mémoire du serveur contacté où peut-être notamment stockée la clé privée.

Cela ne se limite pas au protocole HTTPS mais à tout ce qui utilise SSL/TLS.

Concernant les actions, si la version d'OpenSSL utilisée est concernée (1.0.1 à 1.0.1f), il faut impérativement procéder à une montée de version et refaire un certificat (potentiellement changer le MDP des utilisateurs si utilisateurs il y a). Mais également espérer que cette faille n'ait pas permis de récupérer des infos privées durant ces deux dernières années .