Des temps obscures pour OpenSSL
Son nom ressemble peut-être plus au titre d’un album de Slayer, mais Heartbleed fait en fait référence à une sérieuse vulnérabilité dans la sécurité d’Open SSL. Open SSL est une bibliothèque de chiffrement à source ouverte presque que omniprésente puisqu’elle est utilisée sur deux tiers des sites Internet dans le monde. Ces sites utilisent OpenSSL comme un mécanisme pour mettre en place des connections chiffrées SSL et TLS sécurisées.
Les attaques ciblant la vulnérabilité Heartbleed, qui serait apparemment relativement facile à exploiter et très difficile à détecter, pourraient avoir des conséquences terribles sur les utilisateurs Internet moyens. L’exploit de ce bug pourrait exposer des clés de certificat privées, des identifiants de compte et toute une variété de données sensibles.
Heartbleed a fait les gros titres cette semaine après que OpenSSL annonce qu’ils avaient sorti la correction d’une vulnérabilité. Nous avons depuis pris conscience de la gravité de Heartbleed et c’est en gros tout ce dont nous avons entendu parler ou tout ce que nous avons pu lire cette semaine. Étant donné ce que nous savons sur Heartbleed, vous allez certainement vouloir effectuer un petit nettoyage de printemps numérique – surtout pour ce qui est de vos mots de passe. Vous devriez définitivement lire l’article que nous avons publié sur Kaspersky Daily hier matin. Il vous fournira une explication claire de ce qui est en réalité un problème extrêmement compliqué. Il contient également des conseils sur qui est ou était vulnérable et comment réagir à partir de là.
La liste de sites Internet infectés par Heartbleed est très longue et change sans cesse, vous pouvez donc utiliser cet outil pour vérifier les sites individuellement. À part cela, il est maintenant clair qu’un certain nombre de plateformes de jeu – parmi eux : Nintendo, Call of Duty et League of Legends, ont été à un moment donné affectées par Heartbleed et elles encouragent désormais les utilisateurs à changer de mot de passe immédiatement. Vous trouverez une liste sur Digital Trends.
Il est maintenant clair qu’un certain nombre de plateformes de jeu – parmi eux : Nintendo, Call of Duty et League of Legends, ont été à un moment donné affectées par Heartbleed
Tweet
Si vous trouvez toutes ces choses sur la cryptographie intéressantes (ou que vous êtes complètement confus sur le sujet du chiffrement et comment il fonctionne), lisez notre article sur les fonctions de hachage. Ce n’est pas directement lié à la situation de OpenSSL mais cela ne vous fera pas de mal d’étendre votre vocabulaire en matière de chiffrement.
La fin d’une ère
Si vous m’aviez demandé la semaine dernière ce dont on allait parler cette semaine, je vous aurais répondu : Windows XP. Le mardi 8 avril 2014 a marqué la dernière publication de corrections de sécurité par Microsoft pour son système d’exploitation de plus de 12 ans. Nous savions depuis longtemps que le Patch Tuesday d’Avril 2014 serait le dernier publié par Microsoft afin de réparer XP.
Le problème c’est que XP reste un système d’exploitation répandu. Il est utilisé sur les ordinateurs des hôpitaux et des médecins et sur les interfaces de paiement des points de vente et des guichets automatiques. C’est également le système d’exploitation d’un nombre inconnu d’appareils intégrés et c’est peut-être également le système d’exploitation que vous utilisez chaque jour. Cela étant dit, j’ai lu des études indiquant que la part de marché de XP représentait de 18 à 28%. Néanmoins, il n’y a pas de mystère, Windows XP ne va nulle part. La fin du support signifie que toutes les nouvelles vulnérabilités trouvées sur le système d’exploitation ne seront pas corrigées.
Windows XP ne va nulle part. La fin du support signifie que toutes les nouvelles vulnérabilités trouvées sur le système d’exploitation ne seront pas corrigées.
Tweet
Pour en savoir plus sur ce que cela signifie, vous pouvez lire notre article sur l’histoire et le futur de Windows XP qui fut un temps le système d’exploitation le plus utilisé au monde.
Dans le reste de l’actualité
Cette nouvelle a été quelque peu ignorée mais Google a pris une décision relativement importante pour la sécurité de ses utilisateurs. La société a renforcé la sécurité des systèmes d’exploitation de ses mobiles Android avec une fonctionnalité qui surveillera constamment les applications installées sur les appareils des utilisateurs afin de s’assurer qu’elles n’agissent pas de manière malveillante ou qu’elles n’agissent pas outre les permissions qui leur ont été allouées.
Les systèmes existants, connus sous les noms de Bouncer et Verify Apps, analyse le Play Store de Google et prévient les utilisateurs s’il existe un potentiel problème avec une application qu’ils auraient installée. Dans certains cas, Google bloquera directement l’installation de ces applications pour protéger les utilisateurs des développeurs qui enverront parfois des mises à jour pour les applications installées, afin d’ajouter des fonctionnalités non désirables ou malveillantes. En bref, ces mesures sont conçues pour contenir le problème des applications Android malveillantes qui sont de plus en plus nombreuses dans le Google Play Store.