Yahoo Clever wird am 4. Mai 2021 (Eastern Time, Zeitzone US-Ostküste) eingestellt. Ab dem 20. April 2021 (Eastern Time) ist die Website von Yahoo Clever nur noch im reinen Lesemodus verfügbar. Andere Yahoo Produkte oder Dienste oder Ihr Yahoo Account sind von diesen Änderungen nicht betroffen. Auf dieser Hilfeseite finden Sie weitere Informationen zur Einstellung von Yahoo Clever und dazu, wie Sie Ihre Daten herunterladen.

LiliBlue35
Lv 7
LiliBlue35 fragte in Informatique et internetSécurité · vor 7 Jahren

Quelqu'un peut m'expliquer clairement cette faille dont tout le monde parle "heartbleed" ?

J'ai lu quelques articles et quelques réponses à des questions ici sur le sujet mais tous les termes employés sont plutôt flou pour moi. Que risque-t-on clairement en tant qu'utilisateur de ces sites ?

Y-a-t-il un moyen de se protéger autre que d'arrêter d'utiliser internet ?

Qui est le plus exposés ? Pourquoi on étale le problème à tout va alors que, pour moi, il aurait peut-être mieux valu que cela reste secret ? C'est la porte-ouverte à toutes personnes malintentionnées, non ?

3 Antworten

Bewertung
  • La Diablesse
    Lv 7
    vor 7 Jahren
    Beste Antwort

    Le Bug Heartbleed est une vulnérabilité grave dans la bibliothèque du logiciel de cryptographie OpenSSL. Cette faiblesse permet de voler les informations protégées, dans des conditions normales, par le cryptage SSL / TLS utilisé pour sécuriser l'Internet. SSL / TLS garantit la sécurité de la communication et de la vie privée sur Internet pour des applications telles que le Web, e-mail, la messagerie instantanée (IM) et des réseaux privés virtuels (VPN).

    Le bug Heartbleed permet de lire la mémoire des systèmes protégés par les versions vulnérables du logiciel OpenSSL. Cela compromet les clés secrètes utilisées pour identifier les fournisseurs de services et à crypter le trafic, les noms et les mots de passe des utilisateurs et le contenu réel. Cela permet aux pirates d'écouter les communications, voler des données directement à partir des services et des utilisateurs et se faire passer pour des services et des utilisateurs.

    On en parle depuis le 7 avril toutefois ce bug a été découvert il y a 2 ans et depuis de nombreux sites ont mis en place une correction visant à palier ce bug. Malgré tout le risque de se faire voler des information reste présent si l'on se rend sur des sites qui n'ont pas appliqué le correctif dans leur bibliothèque OpenSSL.

    Heureusement il y a un moyen de vérifier si un site a ou n'a pas appliqué le correctif, pour ce faire il suffir de se rendre sur ce lien :

    http://filippo.io/Heartbleed/

    et de coller dans le champ prévu l'adresse url du site puis de cliquer sur Go et en qulques secondes on peut savoir si le dit site est protégé contre ce Bug.

    A titre d'exemple en collant un lien du forum QR de Yahoo on obtient la réponse suivante :

    "All good, fr.answers.yahoo.com seems fixed or unaffected! " En clair Yahoo est protégé !

    De nombreux sites populaires tels que : Facebook, Google, Instagram, Yahoo, Twitter, Pinterest, Dropbox, Amazon... sont protégés, dans le cas de sites moins connus, exotiques ou de sites marchands sur lesquels ont effectue des achats il est bon de tester leur adresse avant d'envoyer un paiement en ligne.

    Quelques informations plus poussées sur ce Bug : CVE-2014-0160 est sa référence officielle, (Standard for Information Security Vulnerability Names).

    Quels sont les versions SSL vulnérables ? De OpenSSL 1.0.1 à 1.0.1f et la 1.0.2-beta.

    Quelle version implémenter pour éliminer le Bug ? il faut implémenter OpenSSL 1.0.1g

    lien info ici : http://www.openssl.org/news/secadv_20140407.txt

    Ce bug affecte quoi exactement ? Au niveau primaire ce sont les clés de chiffrement elles-mêmes qui sont vulnérables cette fuite permet à l'attaquant de décrypter tout le trafic passé et futur à des services protégés et se faire passer pour le service à volonté.

    Au niveau secondairecCe sont par exemple les informations d'identification de l'utilisateur (nom d'utilisateur et mots de passe) utilisés. Toutes les clés de session et les cookies de session doivent être considérés comme invalides et compromis. Au niveau des données ce peut être des détails personnels ou financiers, communication privée mails ou messages instantanés, des documents, tout type de données transitant par une liaison SSL.

    Suis-je concerné par le bug? Vous êtes susceptibles d'être affectés directement ou indirectement. OpenSSL est la bibliothèque la plus populaire de chiffrement open source et TLS (sécurité de la couche de transport) mise en œuvre utilisé pour crypter le trafic sur Internet. Votre réseau social, le site de votre entreprise, site de commerce, site amateur ou même des sites gérés par le gouvernement utilise peut-êtreune version OpenSSL vulnérable. Beaucoup de services en ligne utilisent TLS à la fois pour s'identifier à vous et protéger votre vie privée et les transactions.

  • ❝@❞
    Lv 6
    vor 7 Jahren

    Lire ces 2 articles:

    http://korben.info/mettez-jour-openssl-urgent.html

    http://korben.info/bug-openssl-changez-vos-mots-pa...

  • Izi
    Lv 7
    vor 7 Jahren

    On lit beaucoup de choses, on bavasse beaucoup aussi.

    Voici une liste non exhaustive de sites testés, infectés ou non.

    https://github.com/musalbas/heartbleed-masstest/bl...

    Testing yahoo.com... vulnerable.

    En bas de page on peur lire >>>>No SSL: 512... Vulnerable: 48 ...Not vulnerable: 440 <<<<

Haben Sie noch Fragen? Jetzt beantworten lassen.