GNU/Linux aussi a le droit à sa faille SSL / TLS

Découverte d'une faille SSL/TLS dans la librairie GnuTLS affectant la majorité des distributions Linux, permettant des attaques de type Man-in-the-Middle.

Récemment, Apple a eu quelques déboires avec le logiciel “SecureTransport” gérant la couche SSL / TLS dans les appareils sous Mac OS & iOS. Aujourd’hui, c’est le cas de GNU/Linux d’en faire les frais, mais dans une moindre mesure.

Encore une faille SSL découverte ?#

La faille a été découverte dernièrement dans une librairie utilisée par GnuTLS. En l’exploitant, un pirate peut alors contourner les protections SSL et TLS mises en place sur un serveur donné (utilisant cette librairie). Par ce contournement, il est alors possible d’y faire transiter “tout et n’importe quoi” sans aucune vérification spécifique.

La principale attaque pour commettre le piratage se nomme “Man In The Middle” – MiTM- (L’homme du milieu) – Un pirate se glisse entre vous (expéditeur) et votre contact (destinataire), et peut alors intercepter vos données, mais aussi y faire transiter des virus et autres logiciels malicieux à votre insu.

Cette faille se trouve sur toutes les distributions GNU/Linux (ou presque) - Les plus utilisées étant Ubuntu, Debian et Red Hat. Pensez donc à vous protéger… En suivant les indications ci-dessous.

D’après les investigations faites par les équipes de Red Hat, une erreur de développement serait la cause de cette faille… Tout comme celle d’Apple et du manque d’accolades dans une condition.

Une erreur de syntaxe, et c’est tout un système de sécurité qui devient inutile compte tenu de ce que peut engendrer ce trou de sécurité…

Comment me protéger ?#

Naturellement, la solution la plus simple, c’est d’effectuer les mises à jour ! La version GnuTLS 3.2.12 permet de corriger ce trou de sécurité et ainsi, vous protégez. Sur les Debian & Ubuntu, un sudo apt-get update && sudo apt-get upgrade fera l’affaire. Sur les Red Hat, effectuez la commande “*rpm -Uvh **“.

L’équipe de mainteneur des libraires de GnuTLS est déjà sur le coup. Des solutions ont été trouvées, et sont déjà mises en application. Il ne vous reste plus qu’à mettre à jour votre système, et en même temps le paquet GnuTLS (mit à jour automatiquement si vous faites toutes les mises à jour du système).

Notes complémentaires#

Dans tous les cas, il ne faut surtout pas paniquer dans ce genre de situation : Même si cette faille est semblable à celle d’Apple (Il faut savoir qu’Apple est à la base un système Unix), la probabilité de se faire attaquer par ce biais et par un MiTM doit s’élever à 1 %… Vous ne courrez pas un risque en soi.

Pour les systèmes Debian, une note d’information est disponible à cette adresse : http://www.debian.org/security/2014/dsa-2869

De plus, il n’est toujours pas possible de parler d’une théorie du complot de la NSA ou autre – Il s’agit purement et simplement d’une erreur de programmation, comme il est possible d’en faire partout et ce n’importe où.

Il y aura toujours des failles, des erreurs, des problèmes. Assurez-vous d’avoir un système à jour, et tenez-vous informé des logiciels que vous avez sur votre machine.

Articles similaires

#news Aucune image
#hardware

Sony abandonne sa marque "Vaio"

Sony revend sa marque de PC portables Vaio à un fonds d'investissement japonais en février 2014, victime d'un marché en déclin et de coûts de production trop élevés.

Lire l'article

Derniers dans #news

#news Aucune image

Le cinéma en 4DX, on s'y croirait presque !

Retour d'expérience sur le cinéma 4DX, une technologie immersive qui synchronise effets physiques (vent, eau, vibrations) avec l'image pour une expérience inédite.

Lire l'article
#news Aucune image

Fast.com, la grande esbroufe de Netflix

Analyse critique de fast.com, l'outil de test de débit lancé par Netflix qui ne mesure que la vitesse vers ses propres serveurs, au service de ses intérêts…

Lire l'article