La faille Heartbleed toujours active chez Yahoo, Twitter et Facebook ?

Le spécialiste de l'analyse web tire la sonnette d'alarme. Selon Netcraft, les sites seraient finalement assez peu nombreux à avoir révoqué leur certificat SSL suite à la faille Heartbleed.

Pour faire face à la faille Heartbleed, deux principales recommandations étaient prodiguées par les experts en sécurité : corriger la vulnérabilité d'une part, mettre en œuvre de nouveaux certificats de chiffrement SSL d'autre part. Il semble que ce second conseil n'ait pas été toujours appliqué, y compris par les plus grands noms de l'Internet.

Selon Netcraft, ce serait le cas de Yahoo. Le portail n'aurait tout simplement pas révoqué les certificats cryptant sa page d'identification (login.yahoo.com). Une page qui donne pourtant accès aux services Yahoo Mail, Yahoo Messenger et Flickr - dont on sait que certains ont bien été compromis. Même constat chez Twitter, LinkedIn, Facebook, Apple, FedEx, PayPal et American Express.

Concernant plus d'un demi-million de sites à travers le monde, la vulnérabilité Heartbleed permet d'accéder aux clés privées de cryptage OpenSSL, et ainsi de pouvoir lire l'ensemble des messages et transactions chiffrées par le serveur. D'où l'importance pour les directeurs techniques de révoquer leurs certificats SSL.

 

A lire aussi :

 Après la faille Heartbleed, naissance d'un fork d'OpenSSL : LibreSSL

 Akamai : son correctif pour la faille Heartbleed ne fonctionnait pas

 Un demi-million de sites web touchés par la faille Heartbleed

 Faille Heartbleed : quels sont les géants IT touchés

 Heartbleed : Cisco et Juniper touchés de plein fouet

 Comment faire face à la faille critique Heartbleed

Facebook / Faille