Plan du site  
français  English
pixel

Blog du campus SUPINFO Reims

Faille HeartBleed, explications et correctifs

Publié le 19 juin 2014 dans Actualités

Vous avez surement entendu parler de la faille nommée « HeartBleed ». C’est une faille dans OpenSSL (le petit cadenas sur le site web de la banque).

La fonction HeartBeat permet au client et au server de garder la session ouverte même si aucun échange de données n’a été effectué depuis un petit moment afin d’éviter le message « session expirée, veuillez-vous reconnecter » .

Pour cela, le client envoie un message au serveur en lui disant :

– « Serveur si tu es là, réponds « Supinfo » en 7 lettres »

– Si le serveur réponds « Supinfo » alors la session est maintenue.

Le souci est le suivant : le client peut mentir sur la longueur du message à envoyer, il peut très bien lui dire :

– « Serveur si tu es là, réponds « Supinfo » en 300 lettres »

OpenSSL ne vérifie pas la longueur du message à envoyer et si jamais la taille du message spécifiée par le client est supérieure à la taille du message à envoyer, le serveur va transmettre du contenu de la mémoire vive, qui peut être des informations sur les autres utilisateurs, par exemple un numéro de carte bleue avec sa date d’expiration et son code de vérification ou bien le login et mot de passe utilisés pour la connexion.

Des correctifs sont maintenant disponibles pour combler cette faille et l’équipe d’OpenBSD a décidé de nettoyer le code d’OpenSSL afin que de le rendre plus facilement maintenable, le projet s’appelle LibreSSL et vous pouvez en suivre l’actualité sur ce blog : http://opensslrampage.org/ (non officiel).

Karim Makhloufi

Rencontrez SUPINFO Reims

Rencontrez-nous à l'occasion des Journées Portes-Ouvertes (JPO) organisées dans l'ensemble des campus SUPINFO en France et dans le monde.

Rencontrez SUPINFO Reims

Contactez SUPINFO Reims

Vous avez besoin d'informations complémentaires sur l'établissement ? Vous désirez parler à une conseillère d'orientation ou obtenir une adresse régionale ?

Contactez SUPINFO Reims
A propos de SUPINFO | Contacts & adresses | Conditions d'utilisation & Copyright | Respect de la vie privée
Logo de la société Cisco, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société IBM, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Sun-Oracle, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Apple, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Sybase, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Novell, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Intel, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Accenture, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société SAP, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Prometric, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Toeic, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo du IT Academy Program par Microsoft, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management

SUPINFO International University
Ecole d'Informatique - IT School
École Supérieure d'Informatique de Paris, leader en France
La Grande Ecole de l'informatique, du numérique et du management
Fondée en 1965, reconnue par l'État. Titre Bac+5 certifié au niveau I.
SUPINFO International University is globally operated by EDUCINVEST Belgium - Avenue Louise, 534 - 1050 Brussels