Heartbleed, cet ado canadien est le premier arrêté

Facepalm

Les canadiens sont mielleux, polis et particulièrement aimables (et ils ont peur du noir) ? Il n'y a qu'à voir Justin Bieber et ce jeune homme de 19 ans pour comprendre que ce n'est pas le cas de tous. Voici donc la première personne arrêtée pour avoir exploité la faille Heartbleed

Selon la Canada Revenue Agency (CRA), le suspect, Stephen Reyes Solis a volé 900 numéros d’assurance sociale en exploitant la vulnérabilité Heartbleed. Pour le moment, l’agence n’a pas encore déterminé dans quelles mesures il s’agit de vol. Mais l’homme se voit tout de même chargé aux griefs d’utilisation non autorisée d’ordinateurs et de méfait à l’égard de données.

En revanche, comme vous le savez, Heartbleed est indétectable par définition, cette arrestation soulève la question de savoir comment il a été pris la main dans le sac. Sans doute a-t-il utilisé les données, mais pour l’heure, les détails ne sont pas clairs. De plus, nous ne savons pas si l’exploit s’est produit avant ou après que le bug ne soit révélé.

Il est très peu probable que ce soit un cas isolé. Donc, si vous ne l’avez pas déjà fait, s’il vous plaît,  changez vos fichus mots de passe. Ceci étant, si cette personne est la première arrêtée, il ne faut pas oublier que les premiers sont en réalité bien plus haut dans la hiérarchie. En effet, la NSA et donc le gouvernement américain, ont également profité de la faille… Comble de l’ironie n’est-il pas ? Elle a bon dos la justice…

 

Tags :Sources :Reuters
  1. Il serait appréciable d’avoir une petite explication sur ce que c’est Heartbleed! Un peu de rigueur dans vos posts ne ferais pas de mal à ce site!

    “En revanche, comme vous le savez, Heartbleed est indétectable par définition” Et bien non, nous le savons pas tous…

  2. Flo n’a pas jugé nécessaire de rappeler ce qu’est Heartbleed étant donné que cela fait une dizaine de jours que tout internet en parle.

    Pour info : http://www.bitdefender.fr/blog/Heartbleed-:-faut-il-changer-tous-vos-mots-de-passe–1436.html

    C’est bien de nous rappeler de changer nos mots de passes, mais il préciser qu’il faut surtout les changer quand et seulement le site en question aura corrigé la faille. Chose faite sur la plus part des grands sites.

    http://www.slate.fr/france/85911/bug-heartbleed-comment-reagir-et-sur-quels-sites

    Concernant la NSA, il ne faut pas perdre de vue que c’est une agence de renseignement et comme tout service de renseignement, son job est de trouvé des sources d’informations et ce même au détriment des citoyens de son pays et de son administration/gouvernement. Et dans le monde du renseignement une source est une poule au oeuf d’or que l’on couve jalousement.

    Pour mieux comprendre : http://www.atlantico.fr/decryptage/heartbleed-point-nos-donnees-en-ligne-conservees-administrations-francaises-et-affectees-mega-faille-securite-michel-nesterenko-1040426.html

  3. Bon je suis pas un pro, loin de là, mais changer les mots de passe n’est pas si simple, si un site “monsite” avec la mauvaise version d’openSsl, il faut :

    1 – qu’il change de version openSSL,
    2 – qu’il génere une nouvelle clé
    3 – qu’il révoque l’ancienne clé
    4 – qu’on change de mot de passe

    Si on change de mot de passe avant, CA NE SERT A RIEN.

    Si on ne s’est pas connecté à “mon site” depuis la révélation d’HB, on ne craint pas grand chose, pas mal de monde juge que le monde des “hackers” ne connaissait pas HB, ce qui est rassurant. Mais bon, le changer une fois que “mon site” à fait toute les étapes c’est pas plus mal 🙂

    1. Et ba voila 🙂 preuve que meme un “pas pro” meme s’il n’a pas toutes les billes en main peut dire des choses certes pas necessairement completes, mais completement censées 🙂 et que tout le mond edevrait suivre.

      petit ajout quand meme sur ta derniere partie. certes “toi” tu ne crains pas grand chose, par contre le “mon site” lui risque juste de se faire defoncer, meme si ce n’est pas necessairement le but de la faille, et “toi” te faire du coup voler tout ce que tu as confié à ce site.

      prenons un exemple de site compromis dans le plus grave des cas. Les clés privées se sont faites voler. et imaginons par extension que par un enchainement de hasard le certificat utilisé pour la presentation ssl soit le meme que celui qui permet de s’authentifier pour entrer dans le systeme (c’est une connerie celui qui fait ca mais bon tout le monde n’est pas expert crypto et n’a pas les moyen d epayer des brouzoufs par milliers pour se faire mettre en place une pki digne de ce nom) imaginez que…

      le site protégé soit le portail d’entrée d’un VPN et que l’authentification des uttilisateurs ne se base que sur un certificat… et pas de bol la CA signe non seulement lesdist certificats ET le chiffrement du site https…

      necessairement si le site permet l’enrollement, la clée privée de la CA est en mémoire, HB peut permettre de la recuperer.

      enjoy, vous etes en possession de la clée privée de la CA vous permettant de generer vous meme les fake certificats vous permettant d’entrer de la facon la plus normale et legitime possible 🙂

      il faut partir du principe que TOUS les sites TOUTES les insititutions touchés par la failles à un moment ou à un autre par la version faillible (ET CE DEPUIS SA SORTIE) sont compromis, et vos information exploitables voire meme deja exploitées par des tiers.

      ps : je n’entrerai pas plus dans les details, mais on a des traces de compromision datant de 2013… et pas du dernier trimestre !!!!

      pps flo j’ai toujours rien recu si tu veux bavarder du sujet en pv à tete reposée, vous avez du mal pour m’envoyer un message ? ^^

      1. Merci pour les détails en plus. J’avoue que je suis dev’, que chez mon client ça parle beaucoup de sécurité [domaine presque bancaire on va dire], mais je ne suis pas (trop) directement impacté donc j’essaye de comprendre petit à petit ce joyeux bordel qu’est là sécurité 🙂

  4. En revanche, comme vous le savez, Heartbleed est indétectable par définition, -> archi faux hmm oui et non…
    Heartbleed ne laisse pas de trace dans les logs openssl/apache/nginx, du moins pas de traces anormal.
    Par contre, il est possible de détecter ce genre d’attaque avec des IDS/IPS (intrusion dectection/proctection system).
    Bref dire que c’est archi-faux… c’est surtout archi incomplet.

    Et pour les sources, évidemment se référer à… http://heartbleed.com

  5. “… Cet ado canadien…”
    “ce” ou “cet” ou “cette” signifie que l’on désigne/montre le sujet! Pas de photo du p’tit gars dans votre article?
    Apprenez a correctement utiliser le français nom d’une pipe! Votre titre aurait dû être”… UN ado canadien…’ 😉

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité