Taxonomie des attaques Heartbleed

Posté par  . Édité par Benoît Sibaud, ZeroHeure, Florent Zara et Xavier Teyssier. Modéré par Florent Zara. Licence CC By‑SA.
27
23
avr.
2014
Sécurité

Pour ceux qui se demandent encore si ils doivent vraiment changer leurs mots de passe suite à l'affaire Heartbleed, qui veulent comprendre pourquoi il ne fallait pas le faire trop tôt, ou qui n'ont pas vérifié si leur navigateur détecte les certificats révoqués, l'article Taxonomie des attaques Heartbleed recense et explique schématiquement les diverses attaques rendues possibles par le bug, y compris contre les logiciels clients (reverse heartbleed), Tor et les VPN.

logo Heartbleed

« Heartbleed » est une des pires failles qui soient arrivées à la sécurité sur Internet. À cause d'elle, les pirates ont pu ou peuvent obtenir des données confidentielles sans avoir besoin d'intercepter les échanges. Après les premières réactions centrées sur la mise à jour des serveurs web vulnérables, la révocation des certificats et le renouvellement des mots de passe, il a fallu quelques jours de plus pour comprendre que la faille Heartbleed affecte également les logiciels clients, les échanges SSL/TLS autres que HTTPS, et une multitude d'appareils embarqués qui ne recevront jamais de mise à jour logicielle.

Plus de détails dans la suite de la dépêche.

Revue de presse de l'April pour la semaine 16 de l'année 2014

Posté par  (site web personnel, Mastodon) . Modéré par Nÿco. Licence CC By‑SA.
21
22
avr.
2014
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

Journal OpenSSL est mort, vive (le futur) LibreSSL

Posté par  (site web personnel) .
70
22
avr.
2014

Salut les jeunes,

Vous n'êtes pas sans savoir qu'OpenSSL, la librairie plus ou moins standard implémentant les protocoles SSL/TLS, a récemment fait beaucoup parler d'elle pour un bug extrêmement grave. La librairie n'en était pas à son premier coup, elle a déjà fait parler d'elle à plusieurs reprises par le passé par sa piètre qualité (j'ai pas vu moi-même, je ne fais que rapporter ce que j'entends sur la toile).

Et bien les gens de chez OpenBSD en ont (…)

Journal 5 ans de support pour un sous-ensemble de Debian Squeeze

Posté par  . Licence CC By‑SA.
Étiquettes :
26
21
avr.
2014

Cher journal,

Tu as peur de Heartbleed mais tu as aussi peur de mettre à jour, tu n'aimes pas les h, les o ou les u dans le nom de ta distribution. Voici une nouvelle qui devrait t'intéresser. Le support de Debian Squeeze va s'arrêter fin mai mais un groupe distinct1 de l'équipe sécurité officielle de Debian a décidé de continuer le support jusque février 2016. Tous les détails ne sont pas encore fixés mais il semblerait qu'on (…)

Lots de correctifs pour NetBSD

Posté par  (site web personnel, Mastodon) . Édité par Nÿco, claudex et BAud. Modéré par claudex. Licence CC By‑SA.
Étiquettes :
26
21
avr.
2014
NetBSD

La fondation NetBSD a annoncé le 25 janvier dernier une nouvelle fournée de versions de leur système d'exploitation éponyme. Point de nouvelle fonctionnalité ici, il ne s'agit que de correctifs de bugs, et surtout de sécurité. Le nombre de nouvelles versions mineures peut sembler important, mais il n'est que l'application du plan de version tel qu'il est défini par la fondation. Ces versions sont les suivantes : 6.1.3, 6.0.4, 5.2.2 et 5.1.4.

De plus, le 12 avril dernier, deux nouvelles versions de la branche 6 ont été rendues disponibles, afin de corriger la désormais connue faille Heartbleed : 6.1.4 et 6.0.5. La branche 5 n'est pas affectée par cette faille.

Une partie de ces corrections est abordée en deuxième partie de dépêche.

Journal [vidéo] heartbleed pour les nuls

Posté par  . Licence CC By‑SA.
Étiquettes :
14
19
avr.
2014

Bonjour,

Pour cette fin de semaine pascale, je ne saurais vous recommander une émission pédagogique sur Heartbleed, on y aborde divers points :

  • l'origine et le marketing de Heartbleed
  • qu'est-ce-qu'openssl ? Logiciels concurrents ?
  • explication de la faille avec xkcd
  • quels sites sont touchés ?
  • depuis quand cette faille existe et si elle a été exploitée
  • problématique du logiciel libre (peu de contributeurs, beaucoup d'utilisateurs)
  • problématique du mot de passe

Les intervenants sont :

Le seul petit hic c'est (…)

Forum général.général HeartBleed, que voulez vous répondre à ça ?

Posté par  . Licence CC By‑SA.
Étiquettes :
7
15
avr.
2014

Bonjour,

Suite à la faille heartbleed, les discussions ont été … fatigantes au boulot, un de mes collègues a sorti coup sur coup :

"Je croyais que c'était mieux Linux que Windows"

et

"Il y en a qui disent qu'il n'y a pas besoin d'antivirus sous Linux"

Pour éviter toute discussion stérile, je suis retourné à mon travail urgent, mais je me demandais ce qu'on pouvait répondre à ce genre de troll propos ?

Votre avis ?

Merci

Journal journal bookmark : vers un fork d'OpenSSL ?

Posté par  . Licence CC By‑SA.
55
15
avr.
2014

Bonjour Nal,

je t'écris pour te faire part d'un possible fork d'OpenSSL par les développeurs d'OpenBSD qui ont démarré depuis quelques jours un nettoyage complet.

Entre autres :

  • suppression des fonctionnalités heartbeat qui ont conduit au bug de la semaine dernière;
  • suppression de beaucoup de code cryptographique en trop;
  • suppression de wrappers autour de fonctions standard, en particulier pour malloc qui entravait des techniques de mitigation d'exploit

et autres nettoyages divers (cf premier lien), ce qui vu de loin (…)

Forum Linux.général APL Apéro Parisien du Libre du 15 avril 2014

Posté par  (site web personnel) . Licence CC By‑SA.
0
15
avr.
2014

Bonjour !

Après les soirées des First et Third Jeudi, Parinux passe à une formule mensuelle qui aura lieu le 15 de chaque mois, parce que les gens qui ont des obligations régulières auront ainsi l'occasion de venir (le jour changeant d'un mois sur l'autre), et parce que c'est facile à retenir.

Nous sommes encore en phase de recherche/négociation pour l'endroit, à terme cela sera sûrement un bar associatif. Nous vous tiendrons informés dès que le lieu sera définitif.

Ce premier (…)

Revue de presse de l'April pour la semaine 15 de l'année 2014

20
14
avr.
2014
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

Journal Heartbleed : petit best of des journalistes

Posté par  (site web personnel) . Licence CC By‑SA.
70
11
avr.
2014

Aaah, pas facile d'écrire un article sur un sujet aussi technique que le récent bug sur OpenSSL, baptisé Heartbleed, quand on est journaliste généraliste. Forcément, ça donne des erreurs et approximations dans l'article final, ce qui ne manque pas de nous font osciller entre le rire gras et le désespoir, nous, techniciens. Petit tour d'horizon du best of des journalistes sur Heartbleed.

Avant de commencer, notons que je passerai sur les trop nombreuses occurrences de l'adjectif crypté et ses variantes (…)

Nouvelle vulnérabilité dans l’implémentation OpenSSL

Posté par  . Édité par Davy Defaud, Benoît Sibaud, Lucas Bonnet, Bruno Michel et claudex. Modéré par Ontologia. Licence CC By‑SA.
86
8
avr.
2014
Sécurité

Une vulnérabilité dans l’implémentation de l’extension heartbeat (RFC 6520) d’OpenSSL a été découverte conjointement par une équipe de chercheurs en sécurité (Riku, Antti and Matti) à Codenomicon et Neel Mehta de Google Securité. On retrouve ici un vieux bogue des familles : le read overrun.

OpenSSL 1.0.1, jusqu’à 1.0.1f inclus, et OpenSSL 1.0.2-beta1 sont affectés. Ce sont les versions utilisées dans la plupart des distributions.

Cette dernière permet la lecture de 64 Kio dans la mémoire des clients et serveurs affectés (mais l’attaque peut être rejouée à chaque heartbeat), autorisant la lecture de données comme les clés privées et, bien sûr, les données échangées une fois ces dernières retrouvées (et ce, même en mode hors ligne s’il n’y avait pas de forward secrecy utilisé).

Il est difficile, voire impossible, de faire une détection post‐mortem d’infiltration, l’attaque ne laissant pas d’entrée suspecte dans le journal système.

Passer à OpenSSL 1.0.1g, redémarrer tous les services utilisant libssl et remplacer l’intégralité de ses certificats (la clef privée étant vulnérable) est donc nécessaire.

Journal Openssl: de battre mon coeur s'est arrété

Posté par  . Licence CC By‑SA.
36
8
avr.
2014

Bonjour nal,

Si je prends la plume si précipitamment aujourd'hui, c'est parce qu'il est urgent de t'avertir d'une faille critique dans le code d'une librairie qui t'es chère. En effet, un dépassement de tampon dans l'implémentation Openssl de l'extension "heartbeat" du protocole TLS a été découvert. Je suppose que tu as le coeur brisé par cette nouvelle, mais je t'en supplie, ton sang ne doit faire qu'un tour, et tu dois migrer vers une version sûre, comme la 1.0.1.g.