Faille Heartbleed : clés privées compromises !
dimanche 13 avril 2014 à 10:34Contrairement à ce que j'avais dit maladroitement, la faille Heartbleed est non seulement exploitée, mais permet de récupérer la clé privée du serveur ! Avec la clé privée en main, vous pouvez décoder TOUTES les trames émises précédemment, ainsi que celles actuelles et futures (sauf si la clé est changée entre temps).
Donc la faille a des conséquences désastreuses pour la sécurité : mettre à jour la bibliothèque OpenSSL ne suffit pas, il faut également révoquer ses anciennes clés et en générer de nouvelles !
Voici quelques liens pour étayer mes propos :
- https://www.cloudflarechallenge.com/heartbleed ;
- http://blog.cloudflare.com/the-results-of-the-cloudflare-challenge ;
- https://news.ycombinator.com/item?id=7576389
Merci à Pierre, un lecteur assidu, de m'avoir signalé ce fait et pour les liens ;)
(Permalink)
Donc la faille a des conséquences désastreuses pour la sécurité : mettre à jour la bibliothèque OpenSSL ne suffit pas, il faut également révoquer ses anciennes clés et en générer de nouvelles !
Voici quelques liens pour étayer mes propos :
- https://www.cloudflarechallenge.com/heartbleed ;
- http://blog.cloudflare.com/the-results-of-the-cloudflare-challenge ;
- https://news.ycombinator.com/item?id=7576389
Merci à Pierre, un lecteur assidu, de m'avoir signalé ce fait et pour les liens ;)
(Permalink)