Une nouvelle faille menace la sécurité via OpenSSL

2
96

Alors que le bug Heartbleed n’est toujours pas corrigé partout, un chercheur japonais vient de trouver une nouvelle alerte sécurité pour le protocole OpenSSL.

La faille Heartbleed à peine corrigée (il resterait plus de 12 000 sites parmi les plus populaires qui seraient encore affectés selon AVG Virus Labs), voici qu’un nouveau bug se pointe à l’horizon. La fondation OpenSSL a en effet publié un avertissement accessible à cette adresse relatif à un bug vieux de plus de 10 ans (!) et permettant de mener une attaque de type « man-in-the-middle » sur le trafic chiffré avec OpenSSL. Le bulletin publié par la fondation indique que le bug permet à un attaquant d’intercepter une connexion chiffrée, de la décrypter et de la lire. Cette faille a été découverte initialement par Masashi Kikushi, chercheur au sein de la société de logiciels Lepidum. Alors que Heartbleed avait été introduit par erreur lors d’une mise à jour du protocole en 2011, la faille découverte par le chercheur nippon est présente depuis l’origine, c’est-à-dire 1998.

Les utilisateurs de ce protocole sont donc invités à déployer un correctif et à mettre à jour vers la dernière version d’OpenSSL. A la différence de Heartbleed qui pouvait être utiilisé directement sur n’importe quel serveur doté d’OpenSSL, cette nouvelle faille nécessite que l’attaque se trouve au milieu des ordinateurs (serveur et client) en communication. L’une des cibles les plus évidentes est un utilisateur qui se connecterait depuis un hotspot WiFi public.

Toutefois, cette situation périlleuse devrait changer. En effet, suite à la découverte de Heartbleed, les grands acteurs de l’Internet et des technologies (Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, Qualcomm et VMware) se sont engagés à investir chacun 100 000 dollars par an pendant trois ans dans une nouvelle initiative Open Source baptisée Core Infrastructure Initiative sous l’égide de la Linux Foundation.

 

Source : L’Informaticien

Les commentaires sont fermés.