Le lundi 7 avril, une vulnérabilité majeure connue sous le nom de « Heartbleed » a été découverte dans la bibliothèque cryptographique populaire OpenSSL, qui est largement utilisée avec les applications et les serveurs Web. Les sites et services sur Internet s'affairent donc à corriger cette vulnérabilité et à mettre à jour les certificats SSL pour protéger leurs clients. Comme indiqué, OpenSSL v1.0.1 à 1.0.1f (inclus) est vulnérable et OpenSSL 1.0.1g publié le 7 avril 2014 corrige ce bogue.
Un extrait de Heartbleed.com dit,
Le bug Heartbleed est une vulnérabilité sérieuse dans la bibliothèque de logiciels cryptographiques OpenSSL. Cette faiblesse permet de voler les informations protégées, dans des conditions normales, par le cryptage SSL/TLS utilisé pour sécuriser Internet. SSL/TLS assure la sécurité et la confidentialité des communications sur Internet pour des applications telles que le Web, la messagerie électronique, la messagerie instantanée (IM) et certains réseaux privés virtuels (VPN).
Le bug Heartbleed permet à n'importe qui sur Internet de lire la mémoire des systèmes protégés par les versions vulnérables du logiciel OpenSSL. Cela permet aux attaquants d'écouter les communications, de voler des données directement des services et des utilisateurs et de se faire passer pour des services et des utilisateurs.
Vérifiez si votre site ou votre téléphone Android est affecté par le bug Heartbleed –
Certains services peuvent vous dire si le site auquel vous avez confié vos informations était ou est toujours vulnérable, et quand son certificat a été mis à jour.
Le test Heartbleed de Filippo Valsorda – filippo.io/Heartbleed
Entrez une URL ou un nom d'hôte pour tester votre serveur pour Heartbleed (CVE-2014-0160). Vous pouvez spécifier un port comme celui-ci exemple.com:4433. 443 par défaut.
Vérificateur LastPass Heartbleed – lastpass.com/heartbleed
Voyez si un site est vulnérable à Heartbleed. Il affiche le logiciel serveur du site, indique s'il était vulnérable et si le certificat SSL est maintenant sûr et quand a été créé pour la dernière fois.
Chromebleed (extension Google Chrome)
Affiche un avertissement si le site que vous parcourez est affecté par le bogue Heartbleed. Il vérifie l'URL de la page en utilisant le service de Filippo. Utile si vous ne souhaitez pas vérifier les sites manuellement.
Mashable a dressé une liste intéressante de sites bien connus indiquant leur statut actuel, indiquant s'ils ont été affectés et si vous devez modifier votre mot de passe.
Détecteur Heartbleed pour Android –
Les utilisateurs d'Android peuvent facilement vérifier si leur appareil Android est vulnérable au bug HeartBleed avec une application gratuite appelée « Heartbleed Detector » de Lookout Mobile Security. L'application détermine quelle version d'OpenSSL est utilisée par votre appareil. Si votre appareil exécute l'une des versions affectées d'OpenSSL, il vérifie ensuite si le comportement vulnérable spécifique est activé ou non.
Cependant, si votre appareil est vulnérable, vous ne pouvez prendre aucune mesure, à moins qu'un correctif ne soit publié par Google ou le fabricant de votre appareil.
Mots clés : AndroidSécurité