Êtes-vous un étudiant de l'EPFL à la recherche d'un projet de semestre?
Travaillez avec nous sur des projets en science des données et en visualisation, et déployez votre projet sous forme d'application sur Graph Search.
Concept
Heartbleed
Résumé
thumb|upright|Symbole utilisé pour communiquer au sujet de la vulnérabilité Heartbleed.
Heartbleed est une vulnérabilité logicielle présente dans la bibliothèque de cryptographie open source OpenSSL à partir de , qui permet à un « attaquant » de lire la mémoire d'un serveur ou d'un client pour récupérer, par exemple, les clés privées utilisées lors d'une communication avec le protocole Transport Layer Security (TLS). Découverte en et rendue publique le , elle concerne de nombreux services Internet. Ainsi 17 % des serveurs web dits sécurisés, soit environ un demi-million de serveurs, auraient été touchés par la faille au moment de la découverte du bogue.
La vulnérabilité aurait été introduite par erreur dans le référentiel d'OpenSSL, à la suite d'une proposition de correction de bugs et d'améliorations de fonctionnalités, par un développeur bénévole. La proposition a été examinée et validée par l'équipe d'OpenSSL le , et le code vulnérable a été ajouté dans la version 1.0.1 d'OpenSSL, le .
En , le bug a été découvert, de manière indépendante, par l'équipe sécurité de Google et par des ingénieurs de la société finlandaise Codenomicon.
alt=Schéma décrivant un échange entre un client et un serveur. Le client demande « Serveur, donne-moi ce mot de 4 lettres si tu es là : "chat". », puis le serveur répond « chat ». On voit ce mot dans un extrait de sa mémoire. Ensuite, un client malicieux demande « Serveur, donne-moi ce mot de 500 lettres si tu es là : "chat". », puis le serveur répond « chat. Clé du serveur : ... » suivi d’informations issues de sa mémoire|vignette|Explication de la faille Heartbleed
Cette faille pourrait permettre à des internautes mal intentionnés de récupérer des informations situées sur les serveurs d'un site vulnérable, à l'insu de l'utilisateur qui les possède. Ces informations personnelles sont censées être inaccessibles et protégées, mais cependant plusieurs experts ont retrouvé des mots de passe d'utilisateurs de sites victimes.
Source officielle
À propos de ce résultat
Cette page est générée automatiquement et peut contenir des informations qui ne sont pas correctes, complètes, à jour ou pertinentes par rapport à votre recherche. Il en va de même pour toutes les autres pages de ce site. Veillez à vérifier les informations auprès des sources officielles de l'EPFL.