Toulouse networks
Follow
Find tag "Faille"
28.6K views | +20 today
Toulouse networks
Networking in Toulouse - Réseautage de la Ville Rose
Your new post is loading...
Your new post is loading...
Scooped by Jacques Le Bris
Scoop.it!

Une énorme faille de sécurité dans de nombreux sites internet

Une énorme faille de sécurité dans de nombreux sites internet | Toulouse networks | Scoop.it
Des spécialistes informatiques ont mis en garde, mardi 8 avril, contre une importante faille dans un logiciel d'encodage utilisé par la moitié des sites internet, qui permet aux pirates de pénétrer dans les ordinateurs pour y récupérer codes et mots de passe.
  • Où se situe cette faille ?

La faille, découverte par un informaticien de Google, a été baptisée « Heartbleed » (« cœur qui saigne ») parce qu'elle touche au cœur du logiciel OpenSSL, installé sur le serveur du site auquel l'internaute se connecte et qui permet de protéger ses mots de passe, ses numéros de carte bancaire ou d'autres données sur Internet. Il est utilisé par la moitié des sites web (voire deux serveurs sur trois, selon le site américain The Verge), mais la faille n'existe pas sur toutes les versions. Selon Fox-IT, cette faille existe depuis deux ans environ.

  • Que permet-elle ?

Par cette faille, les pirates peuvent récupérer des informations en passant par la mémoire des serveurs de l'ordinateur, selon des spécialistes de la société de sécurité informatique Fox-IT. « Le nombre d'attaques qu'ils peuvent effectuer est sans limite », indique-t-elle dans un billet recensant les procédures à suivre pour repousser les incursions.

Parmi les informations susceptibles d'êtres récupérées par les pirates figurent le code source (instructions pour le microprocesseur), les mots de passe, et les « clés » utilisées pour déverrouiller des données cryptées ou imiter un site. « Ce sont les joyaux de la couronne, les clés d'encodage elles-mêmes », souligne le site Heartbleed.com qui détaille les vulnérabilités de la faille. Ces clés « permettent aux pirates de décrypter tous les trafics, passés et à venir, vers les services protégés et d'imiter ces services ».

  • Quels sites sont touchés ?

OpenSSL est utilisé par la moitié des sites internet donc la faille est très répandue. Mais des « géants » de l'Internet, seul Yahoo! a été semble-t-il concerné. Apple, Google, Microsoft, Facebook et la majorité des sites d'e-commerce et bancaires ne le sont pas.

Grâce à cette faille, des chercheurs en sécurité informatique ont rapporté avoir donc été capables de récupérer des informations de mots de passe de Yahoo!, qui a précisé mardi avoir pu résoudre le problème. Egalement touché, Tumblr (qui appartient à Yahoo!) a annoncé mardi avoir corrigé le problème, selon le New York Times.

Le site Filippo.io/heartbleed permet de tester si un site est vulnérable ou non.

Un billet sur le site Tor Project, qui milite pour l'anonymat en ligne, exhorte ceux qui ont des besoins élevés en matière de protection en ligne d'éviter d'utiliser Internet pendant quelques jours, afin de permettre aux sites et aux serveurs d'améliorer leur sécurité.

Mais selon le site spécialisé TechCrunch, « même si vous corrigez votre OpenSSL, vous ne savez pas si vos serveurs ont été piratés ». « Vous pouvez jeter les vieilles clés et générer de nouvelles, mais elles vous permettent seulement d'aller de l'avant », ajoute le site. Autrement dit, le serveur est désormais protégé mais les données contenues sur le serveur pourraient déjà avoir été téléchargées.

TechCrunch cite également un spécialiste de la sécurité informatique, Nicholas Weaver : « Je parie qu'il y aura encore beaucoup de serveurs vulnérables d'ici un an. Cela ne sera pas réglé comme cela. »

more...
No comment yet.
Scooped by Jacques Le Bris
Scoop.it!

How I Hacked Facebook OAuth To Get Full Permission On Any Facebook Account

This flaw fixed by Facebook Security,
Jacques Le Bris's insight:

Gizmodo :

Vous ne savez sans doute pas qui est Nir Goldshlager, en revanche il est tout à fait probable qu’il sache tout de vous. L’homme n’est pas médium mais bel et bien hacker, d’ailleurs il a découvert une faille majeure sur Facebookqui lui a donné un accès illimité à tous les comptes.

C’est toujours dans ces moments qu’on finit par se dire qu’on en raconte  sans doute un peu trop sur le réseau de Zuckerberg.

Cette défaillance de confidentialité provient donc de OAuth, un système qui permet aux développeurs d’accéder à toutes sortes d’informations dès lors que vous cliquez innocemment sur « autoriser ». Cette faille n’est pas si anodine, comme l’explique le hacker :

« J’ai trouvé un moyen d’obtenir toutes les autorisations (Boîte de réception, gérer les pages, gérer les annonces, regarder les photos privées, vidéos, etc) sur le compte de la victime, même sans application installée à l’origine… Même si la victime n’a jamais autorisé d’application sur son Facebook, je pouvais encore obtenir toutes les accréditations »

Le pire ? Le bug fonctionne sur tous les navigateurs ! Facebook a immédiatement résolu le problème… Il n’empêche, on ne peut que se demander ce qui aurait pu advenir si ce hacker n’avait pas dévoilé le pot-aux-roses ou si ses intentions n’étaient finalement pas si louables…

more...
No comment yet.