background preloader

Rbarthes

Facebook Twitter

Heartbleed : sale temps pour les bibliothèques OpenSSL. Introduction Ce 8 avril 2014 tout le monde se réveille et découvre, sur les forums et réseaux sociaux, l’existence d’une faille dans OpenSSL.

Heartbleed : sale temps pour les bibliothèques OpenSSL

Et pas une faille mineure mais une faille critique ! Cette vulnérabilité a été référencée le 03 décembre 2013 sur le CVE du mitre et touche toutes les implémentations d’OpenSSL en version 1.0.1, jusqu’à la version 1.0.1f. Pour information, la version OpenSSL 1.0.1g n’est pas touchée par la vulnérabilité puisqu’il s’agit de la version incorporant le patch de sécurisation. La vulnérabilité vient plus précisément de l’implémentation de TLS et DTLS, qui ne gère pas correctement les paquets de l’extension « Heartbeat ». Notons qu’une fois de plus, il ne s’agit pas d’une faille dans le protocole mais bien d’une erreur d’implémentation. L’extension Heartbeat Cette extension [4] fournit un nouveau protocole à TLS/DTLS [5][6] permettant l’utilisation de la fonctionnalité keep-alive (connexion persistante), sans avoir à effectuer de renégociation.

Une nouvelle faille dans le kernel Linux corrigée grâce à un jeune prodige. Une nouvelle faille de sécurité a été signalée et un patch correctif déjà distribué pour les utilisateurs de Debian.

Une nouvelle faille dans le kernel Linux corrigée grâce à un jeune prodige

Cette faille permettait à un utilisateur d’exploiter la fonction Linux Futex pour obtenir l’accès ring 0 de la machine, soit son plus haut niveau de sécurité, et éventuellement de faire crasher le système. Les développeurs de Debian ont signalé à leurs utilisateurs le bug et proposent un patch à appliquer pour se prémunir contre ce type d’attaque. La faille a été découverte par un jeune hacker prodige, connu sous le pseudo de Pinkie Pie (tiré du nom d’un personnage du dessin animé My Little Pony) et dont le parcours ces dernières années attire de plus en plus l’attention dans le monde de la cybersecurité. Hacking is Magic L’histoire commence en 2012, lors du Pwnium event organisé par Google. Lors de cet événement, Pinkie Pie a donc dévoilé une première faille dans Chrome et empoché la somme rondelette de 60.000 dollars pour son exploit. ShellShock, une faille informatique plus grave que HeartBleed? Ghost, une faille critique affecte les systèmes Linux. Nouveau jour, nouvelle faille : hier soir, suite à une publication de Qualys, on apprenait la découverte d’une faille de sécurité affectant GlibC, la bibliothèque standard C pour le projet GNU.

Ghost, une faille critique affecte les systèmes Linux

Baptisée Ghost, elle est exploitable grâce aux fonctions 'gethostbyname' et 'gethostbyaddr', qui permettent comme leur nom l’indique de traduire un nom de domaine en adresse IP. "FREAK" – une faille majeure née de la lutte des US contre le chiffrement. Article mis à jour le 5 mars à 13h "L'agilité du protocole TLS souffre du gonflement de son héritage : après 20 années d'évolutions du standard, celui-ci comporte de nombreuses versions, extensions, et suites de chiffrement, dont certaines ne sont plus utilisées ou connues pour être non-sécurisées" écrivent les chercheurs dans le rapport consacrés aux attaques FREAK.

"FREAK" – une faille majeure née de la lutte des US contre le chiffrement

Et cet héritage est justement une des causes de ce nouveau risque de sécurité identifié sur Internet. En effet, la multiplication des versions du protocole, des modes d'authentification et des méthodes d'échange de clé permettant d'établir une connexion sécurisée entre un client et un serveur a engendré des "bugs" et "plusieurs vulnérabilités de sécurité critiques". Et ces failles sont demeurées cachées dans "ces libraires pendant des années". La vulnérabilité, et l’attaque qui en résulte, a été baptisée FREAK pour Factoring RSA Export Keys. Un héritage du passé Un tiers des sites vulnérables. Logjam : une nouvelle faille de sécurité des algorithmes de chiffrement. Un nouveau jour, une nouvelle faille dans les implémentations TLS/SSL.

Logjam : une nouvelle faille de sécurité des algorithmes de chiffrement

La faille Freak, découverte au début du mois de mars, avait déjà fait parler d’elle, mais des chercheurs ont découvert une nouvelle vulnérabilité, au fonctionnement assez proche, baptisée Logjam. Identifiée par un groupe de chercheur travaillant pour l’Inria, Microsoft et plusieurs universités américaines, Logjam affecte les implémentations de l’algorithme d’échange de clef de cryptographie Diffie Hellman.

Tout comme Freak, elle permet de forcer l’implémentation à basculer sur un protocole de chiffrement plus faible et permet notamment la mise en place d’attaque "man in the middle" visant à intercepter les messages échangés entre deux interlocuteurs. L’algorithme Diffie Hellman est utilisé par de nombreux protocoles pour orchestrer de façon sécurisée l’échange de clefs de chiffrements servant à chiffrer et déchiffrer les messages échangés. Source : WeakDH.org.