Brèches dans la sécurité des ordinateurs et failles dans les logiciels libres

Une «importante brèche colmatée». Un article publié le 9 juillet 2008 sur le site de Radio-Canada mentionne que pour une rare fois Microsoft, Sun Microsystems et Cisco ont uni leurs efforts pour corriger au plus vite un problème informatique. Il faut dire que cette fois, le problème est grave puisqu'il menace la sécurité et l’intégrité du réseau Internet à l’échelle mondiale. La faille se situe au niveau du système Domain Name System (DNS) qui convertit les noms des sites en des séquences de chiffres qui constitue l’adresse IP des ordinateurs. Elle permettrait aux pirates de s’infiltrer dans le réseau internet pour y faire ce qu’on désigne sous le mot d’«hameçonnage». Les fausses adresses dirigent les utilisateurs vers des faux sites bancaires par exemple où, à l'insu des internautes, les pirates pourront lire les courriels confidentiels ou voler les renseignements et les informations personnels. « Aucune opération de sécurité n'a jamais été réalisée à cette échelle » ajoute Dan Kaminsky, un spécialiste en sécurité de la firme IO Active, qui a découvert la faille par hasard. Les géants mondiaux de l'informatique offrent depuis mardi le 8 juillet sur leur site respectif un logiciel de correction gratuit pour corriger cette faille et certaines entreprises de logiciels antivirus l'ont aussi ajouté dans leur mise à jour de sécurité régulière. Dan Kaminsky recommade aux internautes de tester la vulnérabilité de leurs postes en utilisant le logiciel gratuit sur site internet Doxpora

Les logiciels libres : attention aux failles!

Les utilisateurs de logiciels et des systèmes d'exploitation libres sont inquiets et pour cause. La découverte d’une faille de sécurité majeure dans plusieurs logiciels ou des couches logicielles gratuits qui serait présente depuis déjà deux ans affecte 4 systèmes d'exploitation ag gratuits et au moins 25 logiciels libres sans parler des ordinateurs qui les abritent. Deux lignes de codes erronées qui se situent au niveau de la génération des clés pour le cryptage et le décryptage en seraient responsables. Ces fonctions sont très utilisées par le protocole SSH, le serveur Web Apache ou encore le logiciels de messagerie et le protocole VPN.
Découverte en mai dernier, cette faille qui existe depuis 2 ans maintenant est due à la suppression d’une portion de code utilisée par le package OpenSSl de Debian afin de stopper l’apparition d’alertes dans les outils de validation de la sécurité du code. Mais « au lieu d’utiliser les données aléatoires pour générer des valeurs de clés, la bibliothèque OpenSSL utilise l’identifiant en cours». Comme dans le système d’exploitation libre Linux, la valeur maximale par défaut pour identifier un processeur est de 32 768, ce problème cause une vulnérabilité au niveau de la création des nombres aléatoires.
On recommande que les certificats émis à partir de systèmes Debian soient recréés et renvoyés à l’autorité de certification pour une nouvelle validation. les administrateurs de systèmes devront procéder à un audit des clés utilisés sur le serveur par le protocole SHH et interdire l’utilisation des clés vulnérables qui risquent de compromettre la sécurité des système Linux.

Cherchez à qui le crime profite: erreur ou sabotage?

On ignore toujours combien d’ordinateurs ont été touchés par le problème et plusieurs analystes se demandent si la faille est bien due à une erreur ou à la volonté «d’introduire des portes cachées» dans les systèmes d’exploitation libres. D’autant plus que le très contesté Windows Vista de Microsoft est épargné du problème…

Source : Julien Jay, le lundi 26 mai 2008 , NetEco