NEWS

sony-hacked                 Ces derniers jours une filiale de la société Sony (Sony Pictures Entertainment) fait le buzz (bad buzz) suite à une nouvelle intrusion d’un groupe de « hackers » qui se fait appeler « Guardians of Peace » [#GOP].

Le caniche est insomniaque [1]

  Si vous suivez l'actualité vous avez constaté les différentes annonces sur le caniche voulant manger du TLS. Que l’on se rassure c’est «presque » normal et ce n’est pas TLS qui est remis en cause. Par contre ceux qui ont construit des implémentations de TLS basées sur des fonctions de chiffrement provenant de SSLv3 doivent sentir la morsure.

logo

Ci-dessous, un résumé des  différentes conférences et workshop vus par l'équipe audit NES.

Les trois chercheurs Bodo Möller, Thai Duong, and Krzysztof Kotowicz viennent le 14 octobre de remettre le monde dans la torpeur des vulnérabilités du protocole SSL. En effet POODLE (pour Padding Oracle On Downgraded Legacy Encryption) est une vulnérabilité touchant le protocole SSLv3 et le moins que l'on puisse dire c'est qu'elle semble avoir enterré cette version du protocole pour de bon. Pourquoi pour de bon ? Eh bien parce que malgré l'effet de surprise généré par l’annonce, il faut rappeler que le protocole TLS qui a fait suite au SSLv3 est disponible depuis 1999 (RFC 2246). Et depuis, plusieurs dates ont marqué l'histoire du SSL. POODLE est donc une vulnérabilité, de plus, dans le protocole et non une erreur d'implémentation comme l'a été HEARTBLEED très récemment. Cette vulnérabilité a été rendu possible par deux choses :
  • Le fait de pouvoir réduire la sécurité d'un échange SSL entre un client et un serveur pour des besoins d’interopérabilité.
  • Une faiblesse cryptographique présente dans SSLv3.

Une nouvelle vulnérabilité critique CVE-2014-6271 a été publiée le 24/09 par Stéphane Chazelas dans le célèbre shell linux Bash. Cette dernière a été surnommée Shellshock et permet d'injecter des commandes systèmes à distance. Cet Interprète de commande est présent sur la grande majorité des distributions Linux et est le composant sous-jacent d'une large majorité de programme, notamment des programmes CGI beaucoup utilisés par les applications WEB. C'est pourquoi, bien souvent, il est possible d'éxécuter des commandes a distance ce qui est sûrement pour beaucoup responsable du score maximum dans la notation de l'impact et exploitabilité de la vulnérabilité.

Attardons nous quelques instants sur la vulnérabilité majeure découverte dans OpenSSL et qui occupe massivement le devant de la scène de la sécurité informatique depuis le début de la semaine. OpenSSL est une bibliothèque logicielle sur laquelle sont basés nombre de composants serveurs utilisant des communications sécurisées, c'est pourquoi toute faiblesse ou vulnérabilité trouvée sur celle-ci est lourd de conséquences... Découverte par Neel Mehta de Google Security et datée du 07 Apr 2014, cette vulnérabilité est estampillée CVE-2014-0160 et porte le nom de Heartbleed bug vulnerability.

heartbleed