Les applications mobiles vulnérables aux faux certificats Netcraft a identifié plusieurs dizaines de faux certificats en activité dans le monde usurpant l’identité de géants du web tels Facebook ou Google, mais aussi des banque en ligne et des services web populaires (le serveur de courrier de l’hébergeur GoDaddy aux Etats-Unis, la plateforme iTunes d’Apple…) L’on pourrait penser que cela n’est pas bien grave, car ces certificats n’étant pas signés par une autorité de confiance ils ne seront pas reconnus par les navigateurs. Oui mais voilà : ces sites (notamment Facebook, mais aussi les sites bancaires) sont de plus en souvent accédés depuis une application mobile et non par le biais d’un navigateur traditionnel. Et selon plusieurs études les applications mobiles ne testent pas toujours correctement la validité des certificats présentés par les serveurs. Ainsi selon des tests menés par la société IO Active, 40% des applications bancaires pour iOS ne valident pas correctement les certificats présentés par le serveur.
Faille SSL d'OS X : une erreur grossière pour une théorie du complot Après la faille Heartbleed, naissance d'un fork d'OpenSSL : LibreSSL Suite au fiasco consécutif à la faille Heartbleed, un contre-projet est en tain de naître. Objectif : créer une déclinaison plus sûre de la libraire. Un fork d'OpenSSL est en train de naître. Il est lancé par des membres du projet OpenBSD suite à la faille survenue dans l'extension serveur Heartbleed (extension permettant de gérer le protocole de chiffrement). Baptisé LibreSSL, le fork d'OpenSSL est motivé par une critique principale : le nombre de contributeurs au projet OpenSSL ne serait pas suffisant pour analyser sérieusement le code, et en déloger les failles. Objectif de LibreSSL à court terme : proposer un fork d'OpenSSL au code complément revu et nettoyé des vulnérabilités qu'il pourrait encore contenir. A lire aussi : Akamai : son correctif pour la faille Heartbleed ne fonctionnait pas Un demi-million de sites web touchés par la faille Heartbleed Faille Heartbleed : quels sont les géants IT touchés Heartbleed : Cisco et Juniper touchés de plein fouet
Heartbleed, la faille SSL qui fait mal Fort justement baptisée Heartbleed, la dernière vulnérabilité découverte au sein de la librairie Linux OpenSSL a de quoi, effectivement, faire saigner le coeur des administrateurs systèmes. Certains n’hésitent d’ailleurs pas à la comparer à la grande faille des clés OpenSSL sous Debian de 2008, en pire… La faille CVE-2014-0160 permet à un attaquant de récupérer jusqu’à 64k de la mémoire du serveur vulnérable. Et dans ces 64k, l’on peut y trouver en vrac la clé privée du serveur (le saint des saints qui protège les échanges chiffrés par SSL), ainsi que des morceaux d’informations entrains d’être échangés avec des clients et que l’on pense évidemment être à l’abris des regards indiscrets (des mots de passe, le contenu de conversations en cours, etc…). Les informations contenues dans les 64k renvoyés par le serveur sont aléatoires : il est impossible de « demander » spécifiquement à obtenir la clé privée du certificat serveur, par exemple.
Apple a-t-il ouvert une backdoor à Big Brother sur tous les terminaux iOS ? Apple documente les "backdoors" d'iOS, mais élude les questions qui fâchent