Faille Heartbleed : des certificats SSL non révoqués chez Yahoo, Facebook, Twitter, Paypal ?..

Par:
fredericmazue

lun, 28/04/2014 - 16:42

La faille de sécurité Heartbleed, qualifiée de plus grosse faille de l'Internet, continue de faire l'actualité.

En effet, une fois identifiée, la faille est facile à combler, ce que tous les grands sites ont fait. Toutefois combler la faille n'est pas suffisant, car un exploit de celle-ci permet théoriquement de voler des données sensibles dont font partie les clés privées de cryptage SSL.

C'est pourquoi les sites concernés par la vulnérabilité devaient révoquer leurs certificats SSL dans le cadre du traitement de la faille Haeartbleed. Mais selon Netcraft de grands nom d'Internet n'ont pas effectué cette opération et continuent d'utiliser des certificats potentiellement compromis.

Dans un billet de blog, Netcraft montre clairement  que Yahoo n'a pas révoqué son certificat, et indique qu'il en est de même pour Twitter,LinkedIn, Facebook, Apple, FedEx, PayPal and American Express, et  Schneier on Security.