[New SSI] Drown, encore une faille Openssl !
Bonjour/Bonsoir,
Ces derniers jours, les serveurs du monde entier sont encore une fois victimes d'une faille.
Pourquoi les serveurs du monde entier ?
La librairie (logiciel) nommée Openssl est encore une fois victime. Cette fois-ci, c'est encore plus énorme que la dernière fois, car il faut moins de 10 minutes pour exploiter la faille.
Sans rentrer trop dans le technique, la faille permet de lire le trafic HTTPS qui est chiffré normalement.
Maintenant, la partie amusante ou non, voici une petite liste rapide de sites qui sont faillibles en l'état, à l'heure où j'écris ces quelques mots :
-yahoo.com
-caisse d'epargne
-la banque postale
-xhamster.com
-dailymotion.com
-buzzfeed.com
-mediafire.com
-groupon.com
-samsung.com
-php.net
-lemonde.fr
-vmware.com
-avast.com
-et bien d'autres ...
Si vous avez un site, je vous conseille de le tester rapidement sur https://test.drownattack.com/
Si vous voulez vraiment être sûr, alors le lien de l'outil devrait vous intéresser, il détecte plus de possibilité de faille que le Online scanner !
Liens:
-[en] Description technique de la faille: https://drownattack.com/drown-attack-paper.pdf
-Site de drownattack pour tester, s'informer et comprendre l'ampleur des dégâts à venir: https://drownattack.com/
-Le github pour télécharger un petit script en python pour tester ses serveurs : https://github.com/nimia/public_drown_scanner
EDIT: Cela à de quoi rendre fou, j'ai vérifié et c'est bien depuis 2011 que le standard qui est mis en cause a été officiellement abandonné. (cf: https://www.rfc-editor.org/rfc/rfc6176.txt ).
LOG OFF
Qu'est ce que ça signifie pour l'usager ? Y a un mec qu'a potentiellement mes codes de banque la ?
@cardio: En fait, si tu te connectes en WiFi, et qu'un pirate fait une interception de l'homme du milieu (en gros, il se fait passer pour la borne WiFi), il peut lire le trafic HTTPS (S pour sécurisé normalement !) en clair, comme si aucun chiffrement n'existait. Donc, on peut récupérer tout ce que tu consultes ou envoies à ces serveurs faillibles.
Commentaire supprimé.
Tu ne dois accéder à ce site que si tu as au moins 18 ans ou si tu as l'âge légal pour visionner ce type de matériel dans ta juridiction locale, l’âge le plus élevé étant retenu. En outre, tu déclares et garantis que tu ne permettras aucun mineur à d'accéder à ce site ou à ces services.
En accédant à ce site, tu acceptes nos conditions d'utilisation.