La faille Heartbleed toujours active chez Yahoo, Twitter et Facebook ?
Pour faire face à la faille Heartbleed, deux principales recommandations étaient prodiguées par les experts en sécurité : corriger la vulnérabilité d'une part, mettre en œuvre de nouveaux certificats de chiffrement SSL d'autre part. Il semble que ce second conseil n'ait pas été toujours appliqué, y compris par les plus grands noms de l'Internet.
Selon Netcraft, ce serait le cas de Yahoo. Le portail n'aurait tout simplement pas révoqué les certificats cryptant sa page d'identification (login.yahoo.com). Une page qui donne pourtant accès aux services Yahoo Mail, Yahoo Messenger et Flickr - dont on sait que certains ont bien été compromis. Même constat chez Twitter, LinkedIn, Facebook, Apple, FedEx, PayPal et American Express.
Concernant plus d'un demi-million de sites à travers le monde, la vulnérabilité Heartbleed permet d'accéder aux clés privées de cryptage OpenSSL, et ainsi de pouvoir lire l'ensemble des messages et transactions chiffrées par le serveur. D'où l'importance pour les directeurs techniques de révoquer leurs certificats SSL.
A lire aussi :
Après la faille Heartbleed, naissance d'un fork d'OpenSSL : LibreSSL
Akamai : son correctif pour la faille Heartbleed ne fonctionnait pas
Un demi-million de sites web touchés par la faille Heartbleed
Faille Heartbleed : quels sont les géants IT touchés