OpenSSL rencontrerait une nouvelle faille de sécurité critique

OpenSSL rencontrerait une nouvelle faille de sécurité critique

OpenSSL fait l’objet d’une surveillance de premier ordre depuis la découverte de la faille Heartbleed au mois d’avril 2014. Masashi Kikuchi vient de découvrir une nouvelle faille de sécurité, moins importante et menaçante que la première mais une mise à jour est vivement recommandée pour les utilisateurs dans les plus brefs délais. Cette faille serait présente dans le code d’OpenSSL depuis décembre 1998.

Publié le 7 juin 2014 - 11:33 par François Giraud

Une faille de sécurité critique avait été découverte sur Internet dans la nuit du 7 au 8 avril 2014. Son nom: Heartbleed. Cette faille serait due à une défaillance du protocole OpenSSL qui permet d’accéder aux transactions cryptées utilisées par de nombreux services dont les banques en ligne, les Chats, les messageries, les VPN y compris le réseau Tor. Des experts en sécurité informatique ont dévoilé cette faille présente dans OpenSSL, utilisé par 66% des serveurs Web. OpenSSL permet de chiffrer des données qui transitent entre les utilisateurs et les serveurs. De nombreux sites Internet utilisent le logiciel d’encodage OpenSSL, qui permet entre autres de protéger des mots de passe. Les pirates qui arrivent à entrer dans OpenSSL peuvent avoir accès aux informations qui sont échangées entre les utilisateurs et les serveurs.

Une nouvelle faille de sécurité découverte, moins menaçante qu’Heartbleed

Cette nouvelle faille de sécurité permettra selon OpenSSL à un hacker de dérober des informations telles que des mots de passe, des données bancaires d’une personne ciblée uniquement si les deux acteurs sont connectés en même temps sur le réseau et qu’ils utilisent une version identique d’OpenSSL, ce qui limite de nombre d’attaques. Cette vulnérabilité rend possible le déchiffrement et la modification du trafic par une attaque du type « Man in the middle », mais cette faille est moins importante que celle découverte dans la nuit du 7 au 8 avril 2014. OpenSSL a mis en ligne des mises à jour et il est vivement recommandé aux personnes de mettre leur version d’OpenSSL à jour dans les plus brefs délais.

Advertisements

Ailleurs sur le web





  • djelme

    et allez…… quand je pense que des taches nous ont gonflés pendant des années avec leur soit disant sécurité du libre. Ils doivent bien rigoler à la nsa.

  • chloe

    Et oui, ça craints toute ces histoires de faille qui n’en finissent pas. A l’époque ou le cloud commence à s’imposer, on commence à découvrir toutes ces failles. A priori, on ne peut compter sur personne mais est-ce que les outils de protection d’identité comme Lastpass pourrait changer quelque chose (pour sécuriser notre identité contre les usurpateurs et déjouer cette dite faille?