[OSM-talk-fr] OpenSSL a nouveau à mettre à jour

[Philippe Verdy]

OT - faites comme vous voulez... TL;DR

Après la faille "Heartbleed" une nouvelle faille a été confirmée dans
OpenSSL (exploitation d'un bogue dans la verification de l'ordre et de
l'état du protocole SSL pendant une connexion authentifiée sur les
protocoles SSL ou TLS, permettant à un attaquant d'envoyer un paquet
CertCypher "CCS" de reconfiguration des clés pendant la connexion avant que
la session soit approuvée. (attaque de type "Man in the Middle", qui ne
laisse pas de trace encore détectable)

Toutes les versions d'OpenSSL jusque debut juin sont concernées sur toutes
les plateformes.
Sont particulièrement touchés ceux qui utilisent des smartphones Android et
son navigateur intégré ou Chrome pour Android) et notamment pour les
autorisation OAuth et connexions par un réseau social (Facebook et Twitter
ont cependant déjà corrigé la faille).
La faille est exploitable quand à la fois le client et le serveur utilisent
une version vulnérable d'OpenSSL.
IE et Windows ne sont pas touchés tant qu'il ne sagit pas d'appli ou de
plugin utulisant OpenSSL mais les bibliothèques Windows.
Java et DotNet ne semblent pas touchés (ils n'utilisent pas OpenSSL au
contraire de DalvikVM sous Android)
iOS et MacOSX ne serait pas touchés non plus. En revnache les serveurs si,
très souvent, dès qu'ils communiquent avec un smartphone Android vulnérable.
De nombreux parefeux externes administrables (par exemple des box) sont
vulnérables.

Le patch pour OpenSSL est disponible mais pour les smartphones c'est
compliqué si le fabricant ne propose pas de mise à jour ou si c'est un
smartphone "subventionné par un opérateur mobile" dont les mises à jour
viennent de l'opérateur (qui ne donne plus les mises à jour sur les "vieux
modèles").

Bref, rooter son téléphone et changer d'OS. J'arrête avec Android et suis
passé à CyanogenMod pour charger les patches nécessaires (Samsung ne
propose encore rien) et surotut pour pouvoir "virtualiser" et désapprouver
la plupart des aurorisations demandées par de trop nombreuses applis qui
tournent alors dans une sandbox où elles obtiennent des
pseudo-autorisations d'accès vierges aux listes de contacts, sites visités,
SMS, etc.

En attendant un certain nombre de sites sont fermés depuis plusieurs jours,
y compris des sites de fournisseurs de solutions de sécurité qui ont fermé
leurs accès "sociaux", leurs forums de support, etc (support par mail ou
téléphone uniquement).

Bref mettez à jour vos firmwares si vous pouvez, et vos applis sociales,
rebootez vos box pour voir si elles chargent une mise à jour (Numéricable a
mis à jour en express ses box en avertissant juste une heure avant par
email dans la nuit de jeudi à vendredi, c'est sans doute lié même si on
n''a pas eu bcp de détails), et redémarrez vos navigateurs basés sur Webkit
(hormi ceux d'Apple qui ne semblent pas touchés).

Et si vous avez des serveurs web sous Linux, il est probable qu'il vous
faut mettre à jour OpenSSL dessus et à nouveau regénérer des certificats
(consultez le site de support de la distrib), et vérifier vos applis de
connexion à vos clouds de sauvegarde privée.
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://lists.openstreetmap.org/pipermail/talk-fr/attachments/20140607/c30b7cd6/attachment.htm>