Merci pour ces commentaires qui seront pris en compte dans la prochaine version du document.
En effet DNSSEC n'a pas sa place dans la dernière section, même si on peut raisonnablement imaginer que certaines implémentations aient des interfaces d'administration sur TLS (mais ce n'est apparemment pas le cas de bind).
Concernant les service d'horodatage, le risque est qu'une attaque sur un point d'accès sur TLS permette d'extraire des clés de signature. Tous ces scénarios avec potentiellement des fuites massives de clés privées diverses sont relativement nouveaux en matière de sécurité sur Internet.
Je crois qu'il existe une variante de RADIUS sur TLS (RFC6614). Evidemment, seules sont concernées les configurations avec TLS activé, avec une version vulnérable de OpenSSL, compilées sans l'option OPENSSL_NO_HEARTBEATS, et même dans ce cas on ne sait pas ce qui risque réellement de fuiter. Idem pour les VPN qui utilisent généralement IPSec plutôt que TLS. Toute cette section reste purement spéculative en l'absence d'attaques avérées.
[^] # Re: Quelques âneries sur la fin
Posté par pabr . En réponse à la dépêche Taxonomie des attaques Heartbleed. Évalué à 2.
Merci pour ces commentaires qui seront pris en compte dans la prochaine version du document.
En effet DNSSEC n'a pas sa place dans la dernière section, même si on peut raisonnablement imaginer que certaines implémentations aient des interfaces d'administration sur TLS (mais ce n'est apparemment pas le cas de bind).
Concernant les service d'horodatage, le risque est qu'une attaque sur un point d'accès sur TLS permette d'extraire des clés de signature. Tous ces scénarios avec potentiellement des fuites massives de clés privées diverses sont relativement nouveaux en matière de sécurité sur Internet.
Je crois qu'il existe une variante de RADIUS sur TLS (RFC6614). Evidemment, seules sont concernées les configurations avec TLS activé, avec une version vulnérable de OpenSSL, compilées sans l'option OPENSSL_NO_HEARTBEATS, et même dans ce cas on ne sait pas ce qui risque réellement de fuiter. Idem pour les VPN qui utilisent généralement IPSec plutôt que TLS. Toute cette section reste purement spéculative en l'absence d'attaques avérées.
J'aurais pu mentionner aussi les systèmes de vote électronique puisque les Français résidant à l'étranger ont semble-t-il pu voter par Internet aux législatives de 2012: http://www.numerama.com/magazine/29073-vote-par-internet-et-faille-heartbleed-faites-vous-encore-confiance.html