Forums GAMERGEN

Une faille de sécurité, découverte au sein du logiciel OpenSSL, permet, dans certaines conditions, de récupérer codes et mots de passe. La faille a été baptisée « Heartbleed ».



OpenSSL est chargé de mettre en œuvre un moyen de protection utilisé par des centaines de millions d'internautes, via les protocoles TLS/SSL. Ils permettent à votre navigateur Internet d'authentifier la page sur laquelle vous vous connectez, mais surtout de "cacher" mots de passe, codes de cartes bancaires et plus généralement toutes les données que vous échangez avec ce site.
C'est cette technologie qui est symbolisée par l'affichage de la fameuse icône en forme de cadenas dans la barre de navigation. Outre les sites Web, cette technologie est également utilisée par de nombreux services sur Internet (messageries, applications...).



Il est conseillé de surveiller, dans les prochains jours, les annonces des sites que vous utilisez afin de s'assurer qu'ils prennent les mesures nécessaires.
En cas de doute, le site Filippo.io/Heartbleed permet de tester si un site est vulnérable ou non. En revanche, certaines mesures nécessaires ne sont pas détectées par ce site, comme le renouvellement des certificats ou des mots de passe administrateurs.
Enfin, soyez particulièrement vigilants quant aux courriels que vous recevrez dans les prochains jours. Certains adeptes du phishing pourraient utiliser certaines des données interceptées pour vous cibler.

Rassurez-vous, depuis la découverte de cette faille, beaucoup de sites ont ou sont sur le point de la combler.

Source: http://heartbleed.com/

De pire en pire
Merci pour cette énorme info

La mise en œuvre est en route depuis donc il y a de fortes chance que cette faille se comble assez vite je pense.
Elle existerait depuis décembre 2011 et aurait été accrue par la mise à jour d'OpenSSL en mars 2012. N'ayant été corrigée que lundi dernier, elle a donc pu être «utilisée» pendant !

Les chercheurs ont travaillé avec OpenSSL, et un patch a été déployé lundi soir. Les administrateurs Web doivent mettre à jour leur serveur vers la dernière version (OpenSSL 1.0.1g).

Certains l'ont déjà faite et d'autres suivent. Cela sera t-il suffisant ?
Espérons que oui car subsiste deux problématiques:
- Personne ne sait si la faille a été exploitée avant qu'elle ne soit rendue publique. Un site (sauf erreur) n'a aucun moyen de savoir si ses serveurs ont été touchés,
- Selon les experts en sécurité, si des hackers ont réussi à dérober des clés de cryptage, ils pourraient les utiliser plus tard.

Pour protéger ses utilisateurs, un site doit déposer de nouvelles clés et renouveler son certificat de sécurité, ce qui coûte souvent de l'argent donc pour certains, tout cela ne sera pas simple.

Une liste se constitue ici et elle s'alimente petit à petit

Tous ne seront certainement pas à jour s'ils ne peuvent ou ne veulent pas débourser un peu et s'ils ne sont pas au courant de cette faille. Depuis fin 2011 quand même

Et oui, étonnant de la découvrir depuis peu ^^ il vaut mieux tard que jamais

Toutefois, et sans crier au loup, ne vous précipiter pas pour changer de mot de passe car cela sera inutile.
En effet, si la faille d'OpenSSL n'est pas corrigée sur le site, le nouveau mot de passe pourra être visible à son tour. Il faut donc, avant tout, attendre des sites vulnérables qu'ils mettent à jour leurs dispositifs de sécurité. Puis, pour l'utilisateur, relancer ensuite le site ou le service pour que ces nouvelles protections s'appliquent.

D'après les dernières infos, Google, Facebook, Microsoft, Twitter, Amazon, Apple ou Dropbox n'auraient pas été concernés ou ont effectué la mise à niveau vers la dernière version d'OpenSSL

C'est noté. Merci

Pas de quoi, à la vue des avancées, beaucoup de sites sont opérationnels donc ce fut rapide après l'avoir découvert... Mais très long pour le découvrir