{"id":477441,"date":"2023-08-09T09:15:09","date_gmt":"2023-08-09T09:15:09","guid":{"rendered":""},"modified":"2023-09-05T11:14:42","modified_gmt":"2023-09-05T11:14:42","slug":"heartbleed","status":"publish","type":"wiki","link":"https:\/\/oneproxy.pro\/fr\/wiki\/heartbleed\/","title":{"rendered":"Saignement de c\u0153ur"},"content":{"rendered":"<p>Heartbleed est une vuln\u00e9rabilit\u00e9 critique trouv\u00e9e dans la biblioth\u00e8que de logiciels cryptographiques OpenSSL, permettant le vol des informations prot\u00e9g\u00e9es par le cryptage SSL\/TLS utilis\u00e9 pour s\u00e9curiser Internet.<\/p>\n<h2>Un aper\u00e7u historique\u00a0: d\u00e9m\u00ealer Heartbleed<\/h2>\n<p>Heartbleed a \u00e9t\u00e9 divulgu\u00e9 publiquement pour la premi\u00e8re fois en avril 2014, d\u00e9couvert ind\u00e9pendamment par les ing\u00e9nieurs en s\u00e9curit\u00e9 de Codenomicon et de Google. Il s&#039;agit d&#039;un bug de s\u00e9curit\u00e9 dans la biblioth\u00e8que de cryptographie OpenSSL, l&#039;une des biblioth\u00e8ques de protection cryptographique les plus populaires sur Internet. Il a \u00e9t\u00e9 nomm\u00e9 ainsi parce qu&#039;il a \u00e9t\u00e9 trouv\u00e9 dans la partie \u00ab heartbeat \u00bb de la biblioth\u00e8que OpenSSL, qui est un syst\u00e8me utilis\u00e9 pour maintenir les connexions actives m\u00eame lorsque les donn\u00e9es ne sont pas partag\u00e9es.<\/p>\n<h2>D\u00e9velopper Heartbleed\u00a0: un regard plus approfondi<\/h2>\n<p>Heartbleed affecte sp\u00e9cifiquement l&#039;extension \u00ab heartbeat \u00bb d&#039;OpenSSL. Il s&#039;agit d&#039;une fonctionnalit\u00e9 facultative dans l&#039;impl\u00e9mentation OpenSSL du protocole Transport Layer Security (TLS), qui est utilis\u00e9e pour maintenir une connexion s\u00e9curis\u00e9e entre un client et un serveur.<\/p>\n<p>La vuln\u00e9rabilit\u00e9 existe dans la fa\u00e7on dont la demande de pulsation est trait\u00e9e. En envoyant une requ\u00eate de battement de c\u0153ur malveillante, un attaquant peut inciter un serveur ou un client \u00e0 renvoyer une grande quantit\u00e9 de donn\u00e9es stock\u00e9es dans sa m\u00e9moire, bien au-del\u00e0 de la port\u00e9e pr\u00e9vue du battement de c\u0153ur.<\/p>\n<h2>M\u00e9canisme interne\u00a0: comment fonctionne Heartbleed<\/h2>\n<p>Le m\u00e9canisme de battement de c\u0153ur d&#039;OpenSSL fonctionne en envoyant une requ\u00eate au serveur (une requ\u00eate \u00ab\u00a0heartbeat\u00a0\u00bb) avec une charge utile et une longueur de charge utile. Le serveur r\u00e9p\u00e8te ensuite la charge utile pour confirmer qu&#039;elle est toujours en ligne et \u00e0 l&#039;\u00e9coute.<\/p>\n<p>Cependant, le bug Heartbleed survient car OpenSSL ne v\u00e9rifie pas que la longueur de la charge utile envoy\u00e9e dans la requ\u00eate correspond \u00e0 la charge utile r\u00e9elle. Un attaquant peut envoyer une requ\u00eate de battement de c\u0153ur avec une petite charge utile, mais indiquer au serveur qu&#039;il a envoy\u00e9 une charge utile beaucoup plus importante, incitant le serveur \u00e0 renvoyer jusqu&#039;\u00e0 64 kilo-octets de sa m\u00e9moire. Cette m\u00e9moire peut contenir n&#039;importe quoi, depuis les noms d&#039;utilisateur et mots de passe jusqu&#039;aux cl\u00e9s utilis\u00e9es pour le cryptage SSL.<\/p>\n<h2>Principales caract\u00e9ristiques de Heartbleed<\/h2>\n<ul>\n<li><strong>Fuite de donn\u00e9es\u00a0:<\/strong> Heartbleed peut exposer une quantit\u00e9 importante de donn\u00e9es de la m\u00e9moire du serveur, y compris des informations sensibles telles que les cl\u00e9s priv\u00e9es, les noms d&#039;utilisateur et les mots de passe.<\/li>\n<li><strong>Ind\u00e9tectabilit\u00e9\u00a0:<\/strong> L&#039;exploitation du bug Heartbleed ne laisse aucune trace, ce qui rend difficile la d\u00e9tection et la d\u00e9termination si un syst\u00e8me a \u00e9t\u00e9 compromis.<\/li>\n<li><strong>Large impact\u00a0:<\/strong> Compte tenu de l\u2019utilisation g\u00e9n\u00e9ralis\u00e9e d\u2019OpenSSL, la port\u00e9e potentielle de la vuln\u00e9rabilit\u00e9 Heartbleed \u00e9tait \u00e9norme, affectant une partie importante des serveurs Web sur Internet.<\/li>\n<\/ul>\n<h2>Types d\u2019attaques Heartbleed<\/h2>\n<p>La vuln\u00e9rabilit\u00e9 Heartbleed peut se manifester de diff\u00e9rentes mani\u00e8res, principalement en fonction du type de build OpenSSL utilis\u00e9 et des r\u00f4les des entit\u00e9s impliqu\u00e9es.<\/p>\n<table>\n<thead>\n<tr>\n<th>Type d&#039;attaque<\/th>\n<th>Description<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Heartbleed c\u00f4t\u00e9 serveur<\/td>\n<td>Un attaquant envoie des requ\u00eates de pulsation malveillantes au serveur, l&#039;incitant \u00e0 r\u00e9pondre avec plus de donn\u00e9es qu&#039;il ne le devrait.<\/td>\n<\/tr>\n<tr>\n<td>Heartbleed c\u00f4t\u00e9 client<\/td>\n<td>Un attaquant incite un client \u00e0 se connecter \u00e0 un serveur malveillant, en exploitant la vuln\u00e9rabilit\u00e9 Heartbleed dans la biblioth\u00e8que OpenSSL du client.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Aborder Heartbleed\u00a0: probl\u00e8mes et solutions<\/h2>\n<p>L\u2019exploitation de Heartbleed pr\u00e9sente de graves probl\u00e8mes de s\u00e9curit\u00e9. Il peut r\u00e9v\u00e9ler des informations sensibles, compromettre des cl\u00e9s cryptographiques, etc. Cependant, plusieurs solutions ont \u00e9t\u00e9 mises en \u0153uvre :<\/p>\n<ul>\n<li><strong>Correctif\u00a0:<\/strong> La mise \u00e0 jour d&#039;OpenSSL vers une version qui ne contient pas la vuln\u00e9rabilit\u00e9 Heartbleed (OpenSSL 1.0.1g et versions ult\u00e9rieures) est la solution la plus directe.<\/li>\n<li><strong>Rotation des cl\u00e9s\u00a0:<\/strong> Apr\u00e8s l&#039;application du correctif, il est essentiel de modifier toutes les cl\u00e9s et certificats qui auraient pu \u00eatre r\u00e9v\u00e9l\u00e9s.<\/li>\n<li><strong>Modifications du mot de passe\u00a0:<\/strong> Les utilisateurs doivent modifier leurs mots de passe apr\u00e8s qu&#039;un service vuln\u00e9rable ait corrig\u00e9 leurs serveurs.<\/li>\n<\/ul>\n<h2>Comparaisons avec des vuln\u00e9rabilit\u00e9s similaires<\/h2>\n<p>Bien que Heartbleed soit une vuln\u00e9rabilit\u00e9 unique, il y en a d&#039;autres qui ont \u00e9galement affect\u00e9 la s\u00e9curit\u00e9 d&#039;Internet, comme Shellshock et POODLE. Ces vuln\u00e9rabilit\u00e9s variaient en termes de logiciels affect\u00e9s, d&#039;impact et d&#039;exploitabilit\u00e9.<\/p>\n<h2>Perspectives et technologies futures<\/h2>\n<p>Heartbleed a influenc\u00e9 le d\u00e9veloppement de meilleurs protocoles et pratiques de s\u00e9curit\u00e9, conduisant \u00e0 des m\u00e9canismes am\u00e9lior\u00e9s pour trouver et corriger ces vuln\u00e9rabilit\u00e9s. L&#039;incident a mis en \u00e9vidence l&#039;importance d&#039;audits de s\u00e9curit\u00e9 r\u00e9guliers, de tests automatis\u00e9s et de la n\u00e9cessit\u00e9 d&#039;appliquer rapidement des correctifs et des mises \u00e0 jour.<\/p>\n<h2>Serveurs proxy et Heartbleed<\/h2>\n<p>Un serveur proxy sert d&#039;interm\u00e9diaire pour les requ\u00eates des clients recherchant des ressources aupr\u00e8s d&#039;autres serveurs. Si le serveur proxy utilise OpenSSL, il pourrait \u00eatre vuln\u00e9rable \u00e0 Heartbleed, susceptible de divulguer des informations sensibles sur le client et le serveur.<\/p>\n<p>Cependant, l&#039;utilisation d&#039;un serveur proxy s\u00e9curis\u00e9 et mis \u00e0 jour peut \u00e9galement faire partie d&#039;une strat\u00e9gie de protection contre Heartbleed. En garantissant que tout le trafic est dirig\u00e9 via un proxy s\u00e9curis\u00e9, les entreprises peuvent ajouter une couche de protection suppl\u00e9mentaire \u00e0 leur r\u00e9seau interne.<\/p>\n<h2>Liens connexes<\/h2>\n<p>Pour des informations plus d\u00e9taill\u00e9es sur Heartbleed, vous pouvez consulter les ressources suivantes\u00a0:<\/p>\n<ul>\n<li><a href=\"http:\/\/heartbleed.com\/\" target=\"_new\" rel=\"noopener nofollow\">Site officiel de Heartbleed<\/a><\/li>\n<li><a href=\"https:\/\/www.openssl.org\/\" target=\"_new\" rel=\"noopener nofollow\">Projet OpenSSL<\/a><\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2014-0160\" target=\"_new\" rel=\"noopener nofollow\">Base de donn\u00e9es nationale sur la vuln\u00e9rabilit\u00e9<\/a><\/li>\n<li><a href=\"https:\/\/xkcd.com\/1354\/\" target=\"_new\" rel=\"noopener nofollow\">\u00ab Explication de Heartbleed \u00bb par xkcd<\/a><\/li>\n<li><a href=\"https:\/\/tools.ietf.org\/html\/rfc6520\" target=\"_new\" rel=\"noopener nofollow\">RFC 6520\u00a0: Extension de pulsation de s\u00e9curit\u00e9 de la couche de transport (TLS) et de s\u00e9curit\u00e9 de la couche de transport des datagrammes (DTLS)<\/a><\/li>\n<\/ul>","protected":false},"featured_media":468533,"menu_order":0,"template":"","meta":{"_acf_changed":false,"content-type":"","inline_featured_image":false,"footnotes":""},"class_list":["post-477441","wiki","type-wiki","status-publish","has-post-thumbnail","hentry"],"acf":{"faq_title":"Frequently Asked Questions about <mark>Heartbleed: A Comprehensive Guide<\/mark>","faq_items":[{"question":"What is Heartbleed?","answer":"<p>Heartbleed is a significant vulnerability in the OpenSSL cryptographic software library that allows an attacker to steal information that's normally protected by SSL\/TLS encryption, which is used to secure the Internet.<\/p>"},{"question":"When was Heartbleed first discovered?","answer":"<p>Heartbleed was first publicly disclosed in April 2014, discovered independently by security engineers at Codenomicon and Google.<\/p>"},{"question":"How does the Heartbleed bug work?","answer":"<p>Heartbleed exploits a flaw in the \"heartbeat\" feature of OpenSSL. An attacker sends a malformed heartbeat request to a server, indicating a large payload size but only sending a small one. Since OpenSSL doesn't verify that the payload size matches the actual payload, the server ends up sending back up to 64 kilobytes of its memory.<\/p>"},{"question":"What types of attacks can occur due to Heartbleed?","answer":"<p>Heartbleed vulnerability can manifest in server-side and client-side attacks. In a server-side attack, an attacker sends malicious heartbeat requests to the server, while in a client-side attack, an attacker tricks a client into connecting to a malicious server, exploiting the Heartbleed vulnerability in the client's OpenSSL library.<\/p>"},{"question":"What steps can be taken to address the Heartbleed vulnerability?","answer":"<p>The primary steps to address the Heartbleed vulnerability involve patching the OpenSSL software to a version that doesn't contain the Heartbleed vulnerability, rotating all keys and certificates that could have been revealed, and changing user passwords after a vulnerable service has patched their servers.<\/p>"},{"question":"How does Heartbleed relate to proxy servers?","answer":"<p>If a proxy server uses OpenSSL, it could be vulnerable to Heartbleed, which can potentially leak sensitive client and server information. However, by directing all traffic through a secure, updated proxy server, it can add an additional layer of protection against Heartbleed.<\/p>"},{"question":"What impact has Heartbleed had on future technologies and security protocols?","answer":"<p>Heartbleed has prompted the development of improved security protocols and practices. It has highlighted the need for regular security audits, automated testing, and timely patching and updates.<\/p>"},{"question":"Where can I find more detailed information about Heartbleed?","answer":"<p>More detailed information on Heartbleed can be found on the official Heartbleed website, OpenSSL Project site, the National Vulnerability Database, and through other resources such as an explanation comic by xkcd and the official RFC document on the TLS and DTLS Heartbeat Extension.<\/p>"}]},"_links":{"self":[{"href":"https:\/\/oneproxy.pro\/fr\/wp-json\/wp\/v2\/wiki\/477441","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/oneproxy.pro\/fr\/wp-json\/wp\/v2\/wiki"}],"about":[{"href":"https:\/\/oneproxy.pro\/fr\/wp-json\/wp\/v2\/types\/wiki"}],"version-history":[{"count":0,"href":"https:\/\/oneproxy.pro\/fr\/wp-json\/wp\/v2\/wiki\/477441\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/oneproxy.pro\/fr\/wp-json\/wp\/v2\/media\/468533"}],"wp:attachment":[{"href":"https:\/\/oneproxy.pro\/fr\/wp-json\/wp\/v2\/media?parent=477441"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}