Pour gérer vos consentements :
Categories: Cloud

Sécurité IT : nouvelle alerte sur OpenSSL

OpenSSL est sous haute surveillance depuis l’épisode Heartbleed. La bibliothèque open source de chiffrement fait notamment l’objet d’un audit mis en place par la Core Infrastructure Initiative, qui fédère de grands acteurs de la sphère IT autour de la Fondation Linux.

Les travaux menés en collaboration avec le groupe chargé du développement d’OpenSSL ont mené à la découverte de 7 vulnérabilités supplémentaires. Parmi les deux considérées critiques, l’une permet l’exécution de code à distance sur des applications aussi bien serveur que client instrumentant la couche de chiffrement du protocole UDP OpenSSL DTLS (Datagram Transport Layer Security). Selon le cabinet de sécurité Lexsi, « ce protocole étant majoritairement présent dans des applications offrant des fonctionnalités de visioconférence, il est probable que les références de ce marché telles que Cisco soient impactés« . Il faut donc s’attendre au déploiement imminent de correctifs.

Découverte par Masashi Kikuchi, la deuxième vulnérabilité critique rend possible le déchiffrement et la modification du trafic par une attaque de type « man-in-the-middle ». Sa particularité : elle est présente dans le code d’OpenSSL depuis… décembre 1998, soit le début du projet open source. Un bug qui aurait pu être réparé bien avant en testant le code.

Comme le note Silicon.fr, les autres failles sont considérées moins importantes. Présentant des risques de déni de service ou d’injection de code, elles ont été colmatées à travers une mise à jour de la bibliothèque. Au-delà d’OpenSSL, d’autres projets open source connaissent des fragilités. Illustration avec la bibliothèque de chiffrement GnuTLS, utilisée par différentes distributions Linux : une faille y a été dénichée par l’un des chercheurs de la société ayant découvert Heartbleed.

—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous des VPN ?

Crédit photo : Brian A Jackson – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago