<div dir="ltr"><div>OT - faites comme vous voulez... TL;DR</div><div><br></div>Après la faille "Heartbleed" une nouvelle faille a été confirmée dans OpenSSL (exploitation d'un bogue dans la verification de l'ordre et de l'état du protocole SSL pendant une connexion authentifiée sur les protocoles SSL ou TLS, permettant à un attaquant d'envoyer un paquet CertCypher "CCS" de reconfiguration des clés pendant la connexion avant que la session soit approuvée. (attaque de type "Man in the Middle", qui ne laisse pas de trace encore détectable)<div>
<br><div>Toutes les versions d'OpenSSL jusque debut juin sont concernées sur toutes les plateformes.</div><div>Sont particulièrement touchés ceux qui utilisent des smartphones Android et son navigateur intégré ou Chrome pour Android) et notamment pour les autorisation OAuth et connexions par un réseau social (Facebook et Twitter ont cependant déjà corrigé la faille).</div>
<div>La faille est exploitable quand à la fois le client et le serveur utilisent une version vulnérable d'OpenSSL.</div><div>IE et Windows ne sont pas touchés tant qu'il ne sagit pas d'appli ou de plugin utulisant OpenSSL mais les bibliothèques Windows.</div>
<div>Java et DotNet ne semblent pas touchés (ils n'utilisent pas OpenSSL au contraire de DalvikVM sous Android)</div><div>iOS et MacOSX ne serait pas touchés non plus. En revnache les serveurs si, très souvent, dès qu'ils communiquent avec un smartphone Android vulnérable.</div>
<div>De nombreux parefeux externes administrables (par exemple des box) sont vulnérables.</div><div><br></div><div>Le patch pour OpenSSL est disponible mais pour les smartphones c'est compliqué si le fabricant ne propose pas de mise à jour ou si c'est un smartphone "subventionné par un opérateur mobile" dont les mises à jour viennent de l'opérateur (qui ne donne plus les mises à jour sur les "vieux modèles").</div>
<div><br></div><div>Bref, rooter son téléphone et changer d'OS. J'arrête avec Android et suis passé à CyanogenMod pour charger les patches nécessaires (Samsung ne propose encore rien) et surotut pour pouvoir "virtualiser" et désapprouver la plupart des aurorisations demandées par de trop nombreuses applis qui tournent alors dans une sandbox où elles obtiennent des pseudo-autorisations d'accès vierges aux listes de contacts, sites visités, SMS, etc.</div>
</div><div><br></div><div>En attendant un certain nombre de sites sont fermés depuis plusieurs jours, y compris des sites de fournisseurs de solutions de sécurité qui ont fermé leurs accès "sociaux", leurs forums de support, etc (support par mail ou téléphone uniquement).</div>
<div><br></div><div>Bref mettez à jour vos firmwares si vous pouvez, et vos applis sociales, rebootez vos box pour voir si elles chargent une mise à jour (Numéricable a mis à jour en express ses box en avertissant juste une heure avant par email dans la nuit de jeudi à vendredi, c'est sans doute lié même si on n''a pas eu bcp de détails), et redémarrez vos navigateurs basés sur Webkit (hormi ceux d'Apple qui ne semblent pas touchés).</div>
<div><br></div><div>Et si vous avez des serveurs web sous Linux, il est probable qu'il vous faut mettre à jour OpenSSL dessus et à nouveau regénérer des certificats (consultez le site de support de la distrib), et vérifier vos applis de connexion à vos clouds de sauvegarde privée.</div>
</div>