{"id":246,"date":"2014-04-15T16:33:00","date_gmt":"2014-04-15T16:33:00","guid":{"rendered":"http:\/\/hoper.dnsalias.net\/atdc\/index.php\/2014\/04\/15\/20140415heartbleed-la-faq\/"},"modified":"2017-05-03T14:01:43","modified_gmt":"2017-05-03T12:01:43","slug":"20140415heartbleed-la-faq","status":"publish","type":"post","link":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/2014\/04\/15\/20140415heartbleed-la-faq\/","title":{"rendered":"Heartbleed, la FAQ."},"content":{"rendered":"<p>Le bug \u00ab\u00a0Heartbleed\u00a0\u00bb est parfaitement d\u00e9crit par <a href=\"http:\/\/xkcd.com\/1354\/\">ce dessin<\/a> provenant du site xkcd qui \u00e0 d\u00e9j\u00e0 du faire plusieurs fois le tour de la plan\u00e8te.<\/p>\n<p>Pour le reste, voici ce que j&rsquo;ai r\u00e9cemment appris.<\/p>\n<h3>Ok pour le dessin, mais en vrai ? Il se passe quoi ?<\/h3>\n<p>Et bien c&rsquo;est vraiment ce qui est indiqu\u00e9 dans le dessin. Le bug vient d&rsquo;un nouveau protocole ssl de keepalive \u00ab\u00a0heartbit\u00a0\u00bb, con\u00e7u pour maintenir la session et \u00e9viter des ren\u00e9gociation de clef co\u00fbteuses en cpu. Ce protocole (r\u00e9cent et con\u00e7u correctement d&rsquo;un point de th\u00e9orique) \u00e0 \u00e9t\u00e9 mal impl\u00e9ment\u00e9 dans openssl. C&rsquo;est pour cela que seuls les versions r\u00e9centes sont touch\u00e9es. Et il se passe exactement ce qui est indiqu\u00e9 par xkcd. Ca peut para\u00eetre tr\u00e8s con, mais c&rsquo;est bien ce qui se passe.<\/p>\n<h3>Ce bug touche qui ou quoi exactement ?<\/h3>\n<p>Tous les serveurs web qui utilisent open ssl (apache&#8230;), les VPN ssl aussi&#8230; Tout ce qui utilise les librairies openssl. A contrario, cette faille <strong>NE CONCERNE PAS<\/strong> ssh, m\u00eame si vous utiliser le m\u00e9canisme d&rsquo;authentification par clef.<\/p>\n<h3>Quel est l&rsquo;impact de ce bug ?<\/h3>\n<p>Tous les serveurs touch\u00e9s ont pu \u00eatre \u00ab\u00a0surveill\u00e9s\u00a0\u00bb. En dumpant r\u00e9guli\u00e8rement des portions de leur m\u00e9moire (64k maximum) les attaquants ont pu avoir acc\u00e8s \u00e0 de nombreuses informations. login, mots de passe, clefs priv\u00e9es&#8230; Le probl\u00e8me est justement que personne ne peut vraiment savoir qui \u00e0 vol\u00e9 quoi.<\/p>\n<h3>Ok mais moi, en tant que particulier, je fais quoi ?<\/h3>\n<p>Par mesure de pr\u00e9caution, un changement de mot de passe sur tous les sites web sur lesquels vous avez des comptes serait une tr\u00e8s bonne id\u00e9e. Voir <a href=\"http:\/\/mashable.com\/2014\/04\/09\/heartbleed-bug-websites-affected\/\">ici<\/a> pour l&rsquo;\u00e9tat des lieux sur les principaux fournisseurs de services.<\/p>\n<h3>Comment savoir si un site web pr\u00e9cis est toujours vuln\u00e9rable ?<\/h3>\n<p>La plupart des sites webs importants ont \u00e9t\u00e9s tr\u00e8s vite mis \u00e0 jour. Mais ce n&rsquo;est pas parce qu&rsquo;ils ne sont plus vuln\u00e9rables qu&rsquo;ils ne l&rsquo;\u00e9taient pas auparavant, raison pour laquelle il faut de m\u00eame changer son mot de passe en cas de doute. Pour tester un site web, vous pouvez par exemple utiliser un <a href=\"https:\/\/www.ssllabs.com\/ssltest\/\">outil en ligne<\/a>.<\/p>\n<h3>Il date de quand ce bug ?<\/h3>\n<p>Le \u00ab\u00a0commit\u00a0\u00bb de la mort aurait eu lieu dans la nuit du 30 d\u00e9cembre 2012. La faille aurait rapidement d\u00e9couverte par plusieurs acteurs mais : La NSA aurait pr\u00e9f\u00e9r\u00e9 ne rien dire et utiliser cette faille a son avantage. Google, \u00e0 pr\u00e9f\u00e9rer attendre qu&rsquo;un correctif soit r\u00e9aliser et soit pr\u00e8s \u00e0 \u00eatre d\u00e9ploy\u00e9 partout avant de communiquer<\/p>\n<h3>Sources ?<\/h3>\n<p><a href=\"http:\/\/www.denyall.com\/heartbleed-fr.html\">http:\/\/www.denyall.com\/heartbleed-fr.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le bug \u00ab\u00a0Heartbleed\u00a0\u00bb est parfaitement d\u00e9crit par ce dessin provenant du site xkcd qui \u00e0 d\u00e9j\u00e0 du faire plusieurs fois le tour de la plan\u00e8te. Pour le reste, voici ce que j&rsquo;ai r\u00e9cemment appris. Ok pour le dessin, mais en vrai ? Il se passe quoi ? Et bien c&rsquo;est vraiment ce qui est indiqu\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-246","post","type-post","status-publish","format-standard","hentry","category-geekitude"],"_links":{"self":[{"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/posts\/246","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/comments?post=246"}],"version-history":[{"count":2,"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/posts\/246\/revisions"}],"predecessor-version":[{"id":531,"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/posts\/246\/revisions\/531"}],"wp:attachment":[{"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/media?parent=246"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/categories?post=246"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/tags?post=246"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}