[New SSI] Drown, encore une faille Openssl !

Bonjour/Bonsoir,

Ces derniers jours, les serveurs du monde entier sont encore une fois victimes d'une faille.
Pourquoi les serveurs du monde entier ?
La librairie (logiciel) nommée Openssl est encore une fois victime. Cette fois-ci, c'est encore plus énorme que la dernière fois, car il faut moins de 10 minutes pour exploiter la faille.

Sans rentrer trop dans le technique, la faille permet de lire le trafic HTTPS qui est chiffré normalement.

Maintenant, la partie amusante ou non, voici une petite liste rapide de sites qui sont faillibles en l'état, à l'heure où j'écris ces quelques mots :

-yahoo.com
-caisse d'epargne
-la banque postale
-xhamster.com
-dailymotion.com
-buzzfeed.com
-mediafire.com
-groupon.com
-samsung.com
-php.net
-lemonde.fr
-vmware.com
-avast.com
-et bien d'autres ...

Si vous avez un site, je vous conseille de le tester rapidement sur https://test.drownattack.com/
Si vous voulez vraiment être sûr, alors le lien de l'outil devrait vous intéresser, il détecte plus de possibilité de faille que le Online scanner !

Liens:
-[en] Description technique de la faille: https://drownattack.com/drown-attack-paper.pdf
-Site de drownattack pour tester, s'informer et comprendre l'ampleur des dégâts à venir: https://drownattack.com/
-Le github pour télécharger un petit script en python pour tester ses serveurs : https://github.com/nimia/public_drown_scanner

EDIT: Cela à de quoi rendre fou, j'ai vérifié et c'est bien depuis 2011 que le standard qui est mis en cause a été officiellement abandonné. (cf: https://www.rfc-editor.org/rfc/rfc6176.txt ).

LOG OFF