Evolution vulnérabilité "CCS injection"Fermé

Question

Bonjour à tous, 

Les utilisateurs d'avg le savent probablement, après le sieur Heartbleed, voilà que vient une nouvelle vulnérabilité découverte vers début juin dernier, par hasard (mais apparemment là en toute tranquillité depuis une décennie et plus), appelée "CCS injection" et affectant le cryptage OpenSSL. Je peux me tromper mais si j'ai bien compris cela représente à peu près le même risque que Heartbleed: les données sécurisées sont susceptibles d'êtres interceptées et lues. Je risque de déformer un peu la chose, donc pour ceux qui sont bon en anglais: 

https://www.avg.com/en/signal
https://www.avg.com/en/signal

AVG m'avait averti une première fois y'a quelques temps, puis j'ai zappé, et revoilà un avertissement, cette fois sur steam. J'ai commencé à fouiller un peu le net pour avoir des news sur l'évolution de cette vulnérabilité, notamment avoir une liste de sites qui ont confirmé ou non avoir écarté le danger. Mais je suis un peu alarmé de voir que les news que je trouve datent principalement de début juin, et qu'il n'y a plus eu d'update sur le site openssl.org depuis un mois (et le site présente principalement les versions d'OpenSSl affectées et/ou réparées, ce qui ne m'aide pas trop, ou alors faut que je me débrouille pour trouver quelle version est utilisée par quelle site). Par ailleurs, les sites qui en parlent ne sont que des blogs; rien de très officiel à mon goût, et surtout rien annoncé par des "grands" sites (par exemple, ebay et le crédit agricole avaient réagit assez vite et avaient fait une annonce en grande pompe). J'ai fini par trier les résultats par date, pour avoir du plus récent, mais ce sont toujours des petits (enfin me semble t-il) sites, des communautés informatiques, des blogs et des forums, et... disons que ça reste une mention simple de la chose, ou bien cela se rapproche de ce qui est dit sur openssl.org.

De ma perspective naïve d'ignare, ce silence actuel veut dire soit que la prise de conscience et/ou les corrections sont en train de se faire, soit que tout le monde s'en fout. 
Même si la vulnérabilité requiert que le client et le serveur utilisent une même version d'OpenSSL (et qui soit en plus vulnérable) et que par conséquent les utilisateurs de Chrome, Firefox et compagnie sont ok puisque ces navigateurs ne les utilisent pas (d'après ce que j'ai lu), je reste parano et inquiet. 

Bref, je viens donc vous demander si vous avez des informations sur la chose, et vos avis. Bien sûr, n'hésitez pas à me dire si je raconte n'importe quoi...




Configuration: Windows 7 / Firefox 30.0

Malekal_morte- · Answer

Salut,

C'est une attaque de type "Man-in-the-middle" donc faut que le client soit infecté pour se faire (ou son réseau), donc c'est beaucoup moins grave que heartbleed.

PJDenton · Answer

Oui j'avais à peu près compris cette particularité (merci malekal_morte pour cette nouvelle confirmation), que j'ai mentionné maladroitement en parlant de la nécessité d'avoir une utilisation du même Openssl (et vulnérable) des deux côtés, sous entendu que si l'un ne l'a pas, ça ne peut pas marcher, précisément de par ce principe du "man-in-the-middle". Mais enfin, ce silence récent ne me rassure pas beaucoup. Peut être du coup que, comme tu le dis, du fait que ce soit moins grave, ça fait beaucoup moins de remous.

Pseudo... · Answer

Salut !
NB : Le SSL Labs de Qualys permet de repérer les sites ayant cette faille.
https://www.ssllabs.com/ssltest/

Malekal_morte- · Answer

Quelques autres : https://www.openssl.org/news/secadv/20140806.txt

Evolution vulnérabilité "CCS injection"

4 réponses

Discussions similaires

Newsletters