Que doit faire un opérateur de site Web à propos de l'exploit Heartbleed OpenSSL? parle principalement de ce que les gens qui gèrent des sites Web devraient faire à propos de Heartbleed.
Que devraient faire les utilisateurs finaux des sites Web?
Doivent-ils changer leurs mots de passe?
Si tel est le cas, devraient-ils se connecter à des sites Web et changer de mot de passe immédiatement? Ou devraient-ils attendre que leurs sites Web aient changé leurs sites pour être plus sûrs, puis changer leurs mots de passe?
(Je suis https://security.stackexchange.com/users/8335/andrew-grimm , mais je poste en tant qu'invité, car je ne suis pas déjà connecté, wordpress openID ne fonctionne pas, et je ne veux pas utiliser de mot de passe juste après l'annonce de Heartbleed)
Les utilisateurs finaux doivent simplement attendre que leurs administrateurs système les contactent pour obtenir des instructions supplémentaires. À un moment donné, après que vos administrateurs système ont corrigé les systèmes vulnérables , vous devrez peut-être:
Je m'attends à ce que les changements massifs de clé/certificat sur le point de se produire ne soient pas remarqués par la plupart des utilisateurs, car ils ont lieu côté serveur. En ce qui concerne les certificats de confiance de l'autorité de certification racine côté client, je m'attends à ce que les homologues de clé privée résident sur des systèmes à espace restreint, et n'auront donc pas été vulnérables à cet exploit. Toutes les mises à jour des magasins de certificats qui sont nécessaires se produiront probablement de manière transparente dans les mises à jour en arrière-plan.
J'ai résumé les points ci-dessus à partir de heartbleed.com (soulignement le mien):
Quel est le matériel de clé primaire qui a fui et comment le récupérer?
Ce sont les joyaux de la couronne, les clés de cryptage elles-mêmes . Des clés secrètes qui ont fui permettent à l'attaquant de décrypter tout trafic passé et futur vers les services protégés et d'usurper l'identité du service à volonté. Toute protection accordée par le chiffrement et les signatures dans les certificats X.509 peut être contournée. La récupération de cette fuite nécessite de corriger la vulnérabilité, de révoquer les clés compromises et de réémettre et redistribuer de nouvelles clés. Même en faisant tout cela, le trafic intercepté par l'attaquant dans le passé restera toujours vulnérable au déchiffrement. Tout cela doit être fait par les propriétaires des services.
Qu'est-ce que le matériel de clé secondaire qui a fui et comment le récupérer?
Ce sont par exemple les informations d'identification de l'utilisateur (noms d'utilisateur et mots de passe) utilisées dans les services vulnérables. La récupération de ces fuites nécessite d'abord que les propriétaires du service rétablissent la confiance dans le service conformément aux étapes décrites ci-dessus. Après cela, les utilisateurs peuvent commencer à changer leurs mots de passe et les clés de cryptage possibles selon les instructions des propriétaires des services qui ont été compromis. Toutes les clés de session et les cookies de session doivent être invalides et considérés comme compromis.
Qu'est-ce qu'un contenu protégé divulgué et comment le récupérer?
Il s'agit du contenu réel géré par les services vulnérables . Il peut s'agir de détails personnels ou financiers, de communications privées telles que des e-mails ou des messages instantanés, des documents ou tout autre élément qui mérite d'être protégé par cryptage. Seuls les propriétaires des services pourront estimer la probabilité de ce qui a été divulgué et ils doivent en informer leurs utilisateurs en conséquence. La chose la plus importante est de restaurer la confiance envers le matériel de clé primaire et secondaire comme décrit ci-dessus. Seulement cela permet une utilisation sûre des services compromis à l'avenir.
Qu'est-ce qu'une garantie fuite et comment récupérer?
Les garanties fuites sont d'autres détails qui ont été exposés à l'attaquant dans le contenu de la mémoire qui a fui. Ceux-ci peuvent contenir des détails techniques tels que des adresses mémoire et des mesures de sécurité telles que des canaris utilisés pour se protéger contre les attaques par débordement. Ceux-ci n'ont qu'une valeur contemporaine et perdront leur valeur pour l'attaquant lorsque OpenSSL aura été mis à niveau vers une version fixe.
@ scuzzy-delta a un bon aperçu ci-dessus, mais j'ai pensé que je pourrais répondre un peu plus préventivement.
Sécurité générale pour les services en ligne L'un des meilleurs moyens d'éviter les dommages causés par des bogues comme celui-ci est d'utiliser un gestionnaire de mots de passe comme KeePass (KeePassx pour Mac et Linux). Les gestionnaires de mots de passe peuvent générer et stocker des mots de passe complètement uniques pour tous les sites Web que vous utilisez. Cela évite les nombreux risques de sécurité qui se produisent lorsque vous utilisez le même mot de passe ou un dérivé du même mot de passe pour plusieurs services.
RE: Changer les mots de passe Changer les mots de passe est bon et tout, mais si le service ou le site Web que vous utilisez est toujours vulnérable à Heartbleed, le nouveau mot de passe pourrait également être compromis. Pour la plupart, je pense que les services corrigent le bogue ou annoncent qu'ils n'ont pas été affectés.