Publicité
Les nouvelles de Cloudflare vendredi indiquent que le débat est clos sur la question de savoir si le nouvel OpenSSL La vulnérabilité Heartbleed pourrait être utilisée pour obtenir des clés de chiffrement privées à partir de serveurs vulnérables et sites Internet. Cloudflare a confirmé que des tests indépendants tiers ont révélé que c'était en fait vrai. Les clés de chiffrement privées sont en danger.
MakeUseOf avait précédemment signalé Bogue OpenSSL Un bogue massif dans OpenSSL met en danger une grande partie d'InternetSi vous faites partie de ces personnes qui ont toujours cru que la cryptographie open source est le moyen le plus sûr de communiquer en ligne, vous êtes un peu surpris. Lire la suite la semaine dernière, et a indiqué à ce moment-là que la vulnérabilité des clés de chiffrement était encore en question, car Adam Langley, un expert en sécurité de Google, n'a pas pu confirmer qu'il s'agissait du Cas.
Cloudflare a initialement publié un «Défi Heartbleed"Vendredi, la configuration d'un serveur nginx avec l'installation vulnérable d'OpenSSL en place, et a mis au défi la communauté des hackers d'essayer d'obtenir la clé de chiffrement privée du serveur. Les pirates en ligne ont sauté pour relever le défi, et deux personnes ont réussi vendredi, et plusieurs autres «succès» ont suivi. Chaque tentative réussie d'extraire des clés de chiffrement privées via uniquement la vulnérabilité Heartbleed ajoute à la masse croissante de preuves que l'impact de Hearbleed pourrait être pire qu'initialement soupçonné.
La première soumission est arrivée le même jour que le défi a été lancé, par un ingénieur logiciel du nom de Fedor Indutny. Fedor a réussi après avoir martelé le serveur avec 2,5 millions de demandes.
La deuxième soumission est venue d'Ilkka Mattila au National Cyber Security Center à Helsinki, qui n'a eu besoin que d'une centaine de milliers de demandes pour obtenir les clés de cryptage.
Après l'annonce des deux premiers gagnants du défi, Cloudflare a mis à jour son blog samedi avec deux gagnants plus confirmés - Rubin Xu, un étudiant au doctorat à l'Université de Cambridge, et Ben Murphy, un responsable de la sécurité Chercheur. Les deux personnes ont prouvé qu'elles étaient en mesure d'extraire la clé de chiffrement privée du serveur, et Cloudflare a confirmé que tous les individus qui ont réussi à surmonter le défi l'ont fait en utilisant rien de plus que l'exploit Heartbleed.
Les dangers posés par un pirate informatique obtenant la clé de chiffrement sur un serveur sont très répandus. Mais faut-il être inquiet?
Comme Christian l'a récemment souligné, de nombreux les sources médiatiques font monter la menace Heartbleed - Que pouvez-vous faire pour rester en sécurité? Lire la suite par la vulnérabilité, il peut donc être difficile d'évaluer le véritable danger.
Ce que vous pouvez faire: Découvrez si les services en ligne que vous utilisez sont vulnérables (Christian a fourni plusieurs ressources sur le lien ci-dessus). Si tel est le cas, évitez d'utiliser ce service jusqu'à ce que vous entendiez que les serveurs ont été corrigés. Ne vous précipitez pas pour changer vos mots de passe, car vous ne fournissez plus de données transmises aux pirates pour décrypter et obtenir vos données. Restez bas, surveillez l'état des serveurs et, lorsqu'ils ont été corrigés, entrez et changez immédiatement vos mots de passe.
La source: Ars Technica | Crédit d'image: Silhouette d'un pirate par GlibStock à Shutterstock
Ryan est titulaire d'un BSc en génie électrique. Il a travaillé 13 ans dans l'ingénierie d'automatisation, 5 ans dans l'informatique et est maintenant ingénieur d'applications. Ancien rédacteur en chef de MakeUseOf, il a pris la parole lors de conférences nationales sur la visualisation des données et a été présenté à la télévision et à la radio nationales.
