Overblog
Suivre ce blog Administration + Créer mon blog
12 avril 2014 6 12 /04 /avril /2014 06:20
La NSA dément avoir eu connaissance de la faille Heartbleed

 

12.04.2014 Romandie.com (ats )

 

La NSA a démenti vendredi avoir eu connaissance et exploité à son profit l'importante faille de sécurité "Heartbleed". Celle-ci touche certaines versions d'OpenSSL, un logiciel libre très utilisé pour les connexions sécurisées sur Internet.

 

Citant "des sources proches du dossier", l'agence de presse Bloomberg affirme que l'agence américaine chargée des interceptions de communications connaissait depuis "au moins deux ans" l'existence de cette faille, baptisée "Heartbleed", mais qu'elle ne l'avait pas révélée et s'en était au contraire servie pour récupérer des informations.

 

La faille "Heartbleed" touche certaines versions d'OpenSSL, un logiciel libre très utilisé pour les connexions sécurisées sur Internet, matérialisées par exemple par une adresse démarrant par https ou un petit cadenas lors des transactions bancaires et de l'identification sur un site Internet. Son existence a été dévoilée en début de semaine.

 

"La NSA n'était pas informée de la vulnérabilité récemment identifiée dans OpenSSL, appelée faille Heartbleed, jusqu'à ce qu'elle soit rendue publique dans un rapport d'une société privée de sécurité informatique. Les informations faisant état du contraire sont fausses", a déclaré une porte-parole de la NSA.

 

La Maison blanche dément aussi

 

La porte-parole du Conseil de sécurité nationale (NSC, dépendant de la Maison blanche) a également démenti que "la NSA ou toute autre branche du gouvernement" ont eu connaissance de la faille. "Le gouvernement fédéral a lui aussi recours à l'OpenSSL pour protéger les utilisateurs de sites internet gouvernementaux", dit-elle dans un communiqué.

 

"Cette administration prend au sérieux sa responsabilité d'aider au maintien d'un Internet ouvert, interopérable, sécurisé et sûr. Si le gouvernement fédéral, y compris la communauté du renseignement, avait découvert cette vulnérabilité avant la semaine passée, il en aurait informé la communauté responsable de l'OpenSSL", assure-t-elle encore.

 

"Heartbleed" peut permettre à des pirates de récupérer dans la mémoire des serveurs informatiques des données fournies lors de connexions protégées.

 

Parmi les informations susceptibles d'être récupérées figurent le code source (instructions pour le microprocesseur), les mots de passe, et les "clés" utilisées pour déverrouiller des données cryptées ou imiter un site.

Partager cet article
Repost0
10 avril 2014 4 10 /04 /avril /2014 07:20
Cybersécurité/"Heartbleed", la faille qui fait trembler Internet

 

 

09.04.2014 Romandie.com (AWP)

 

San Francisco/Berne (awp/ats/afp) - Des spécialistes informatiques ont mis en garde mardi contre une faille importante dans un logiciel de cryptage utilisé par la moitié des sites internet. Elle permettrait aux pirates de pénétrer dans les ordinateurs pour y récupérer codes et mots de passe.

 

La faille, baptisée "Heartbleed" ("coeur qui saigne"), a été découverte sur le logiciel OpenSSL. Utilisé pour protéger ses mots de passe, ses numéros de carte bancaire ou d'autres données sur Internet, OpenSSL est utilisé par la moitié des sites web, mais la faille n'existe pas sur toutes les versions.

 

Selon la société de sécurité informatique Fox-IT, la faille existe depuis une version d'OpenSSL sortie il y a deux ans environ.

 

LES HTTPS:// CONCERNÉS

 

Le collectif derrière OpenSSL a publié une alerte de sécurité et recommandé à ses utilisateurs de passer à une version améliorée du logiciel. Il précise que c'est un chercheur de Google Security qui a découvert la faille.

 

Les shops en ligne ainsi que les portails des caisses-maladie sont touchés au même titre que les fournisseurs d'adresses e-mail et que les instituts financiers (e-banking ou transactions par cartes de crédit), a précisé la centrale d'enregistrement et d'analyse de la Confédération pour la sûreté de l'information MELANI. La plupart des liens Internet qui commencent par https:// sont concernés.

 

La faille ne concerne pas toutes les versions d'OpenSSL. Elle ne permet pas à un pirate d'obtenir plus de 64 kilo-octets de données à la fois, ni de contrôler précisément à quelle partie de la mémoire du serveur informatique il accède, selon des spécialistes en sécurité informatique.

 

ATTAQUES ILLIMITÉES

 

Grâce à cette faille, les pirates peuvent récupérer des informations en passant par la mémoire des serveurs de l'ordinateur, selon des spécialistes de Fox-IT. "Le nombre d'attaques qu'ils peuvent effectuer est sans limite", indique Fox-IT dans un billet recensant les procédures à suivre pour repousser les incursions.

 

Parmi les informations susceptibles d'être récupérées par les pirates figurent le code source (instructions pour le microprocesseur), les mots de passe, et les "clés" utilisées pour déverrouiller des données cryptées ou imiter un site.

 

"LES JOYAUX DE LA COURONNE"

 

"Ce sont les joyaux de la couronne, les clés d'encodage elles-mêmes", souligne le site heartbleed.com qui détaille les vulnérabilités de la faille. Ces clés "permettent aux pirates de décrypter tous les trafics, passés et à venir, vers les services protégés et d'imiter ces services".

 

Des chercheurs en sécurité informatique ont d'ailleurs rapporté qu'ils ont pu récupérer des informations de mots de passe de Yahoo!, qui a précisé mardi avoir pu résoudre le problème.

 

EVITER INTERNET

 

En Suisse, le directeur suppléant de MELANI Max Klaus recommande d'interrompre si possible toutes les transmissions de données sensibles sur Internet dans les prochaines 48 heures, a-t-il affirmé à la radio alémanique SRF.

 

Un billet sur le site Tor Project, qui milite pour l'anonymat en ligne, exhorte d'ailleurs ceux qui ont des besoins élevés en matière de protection en ligne d'éviter d'utiliser Internet pendant quelques jours, afin de permettre aux sites et aux serveurs d'améliorer leur sécurité.

 

Le conseil a été suivi en partie par les services fiscaux canadiens, qui ont désactivé mercredi la partie de leur site internet permettant aux contribuables d'accéder à leurs dossiers fiscaux.

 

TESTER LA VULNÉRABILITÉ DES SERVEURS

 

En revanche, pour Peter Fischer, directeur du centre de compétences sur la sécurité informatique à la Haute Ecole de Lucerne, il suffit que les internautes se rendent sur la page http://filippo.io/heartbleed avant utilisation et testent la vulnérabilité du serveur désiré.

 

Mercredi en fin de journée, après une période de fragilité, les sites bluewin.ch et credit-suisse.ch étaient à nouveau considérés comme sûrs tout comme ubs.com et postfinance.ch qui utilisaient une version corrigée d'OpenSSL.

 

On ne sait pas encore si Heartbleed a été effectivement exploitée par des pirates, mais les gestionnaires de site ayant utilisé des versions compromises d'OpenSSL doivent passer à des versions plus sûres ou procéder à des mises à jour de sécurité développées en urgence.

Partager cet article
Repost0

Présentation

  • : RP Defense
  • : Web review defence industry - Revue du web industrie de défense - company information - news in France, Europe and elsewhere ...
  • Contact

Recherche

Articles Récents

Categories