Accueil Forum -> Techno Geek -> Technophile  >>  [News]Heartbleed
9 messages

[News]Heartbleed

12 avril 2014 à 15:26 Silverscythes  
Amis Newser (male), Amies Newsers (Femelle)
L'heure est grave !

Tout d'abords je m'excuse à moi même de mon retard ,
Par le fait d'avoir enfin trouvé du travail !

Le but n'étant pas d'étaler ma vie je vais vous parlez aujourd'hui de Heartbleed.
En francais "coeur qui saigne", Heartbleed n'est pas un jeu
C'est le nom donné sur la toile à un logiciel d’intelligence artificielle servant d'avertissement aux autorités en cas de tentative de hack ou autres sournoiseries.

Image


Les faits sont les suivants : La NSA (National Sécurity Agency)
Les mêmes qui ont fait fermer Megaupload (l'image vous le rapellera )
On découvert il y a deux ans une faille dans Heartbleed
Permettant d'accéder à de nombreux comptes sans ne laisser aucunes traces et notamment aux contenus personnels du pc utilisateur.
La NSA se servant donc de cette faille dans un cadre d'espionnage de particuliers et professionnels, ont donc "omit" de signaler le bug pendant ces deux longues années.
Cette fameuse faille aurait servi, il y a peu, à de nombreux hackeurs pour voler et mettre le bazar dans énormément de comptes, principalement Yahoo.

Image


Le gouvernement européen ne chercherait pas à poursuivre les hackeurs qui auraient mis le bazar pour les raisons que je cite :
"sans ces petits malins le gouvernement n'aurait pu remarquer les agissements frauduleux du bras de sécurité Américain"
Récemment le Gouvernement Chinois voit rouge, avec pour exemple le vol de clés d'accès et d'informations confidentielles de l'entreprise Huawei de manière à avoir accès aux appareils Huawei ou même aux tablettes et smartphones conçu par cette entreprise mondialement connu.

Image


Nous nous posons tous la questions actuellement, comment le monde va réagir à cette nouvelle révélation, va t'on encore permettre de laisser au gouvernement américain le soin d'étaler encore un peu plus sa toute puissance et son orgueil ?

[News]Heartbleed

12 avril 2014 à 16:24 kazuya  
Je crois que les USA vont devoir sérieusement se remettre en question, parce que avec les activités d'espionnages de la NSA, et etc...pleins de pays vont vite en avoir ras-le-bol, et la Chine ou la Russie par exemple, eux ne plaisantent pas avec ce sujet.

[News]Heartbleed

12 avril 2014 à 20:33 Goldberg  
Les USA se prennent pour les maitres du monde, a donné des leçon au autre pays alors qu'ils ont commis les pires atrocités qu'on puisse faire sur ce monde.
Le vent finira par tourner, mais quand ...?

[News]Heartbleed

12 avril 2014 à 21:35 Silverscythes  
Quand les chatons auront des fusils à pompes !

[News]Heartbleed

15 avril 2014 à 20:04 MetalTux    
Alors, Hacker (et pas "hackeur") signifie bidouilleur et non pas méchant pirate... et Heartbleed n'est pas "un logiciel d'espionnage" mais le nom d'une faille trouvée dans OpenSSL, que la NSA aurait soi-disant utilisé pendant deux ans sauf que

- Heartbleed n'est vraiment pas adapté à la surveillance de masse, parce que c'est lourd à mettre en place pour des attaques de masse
- La NSA dispose de moyens plus puissants, comme les portes dérobées, et des accès directes aux serveurs (PRISM, pour ceux qui auraient déjà oublié... parmi tant d'autres programmes de surveillance)

HTTPS c'est bien contre les script kiddies du Fast-Food du coin ou sur le réseau scolaire mais n'a jamais eu un niveau de sécurité correcte pour la protection contre la surveillance de masse...

- La plupart des gros gros sites utilisent des algos de chiffrement non-fiables comme RC4, qui ont été cassés y a des années
- La plupart des certificats utilisés par les gros sites (boites US) sont issues de CA US aussi donc soumis au Patriot Act et au FISA...
- Sans compter les failles côté ou les serveurs web, autre que ce qui concerne SSL, qui peut mener à des fuites d'informations
- L'utilisation de PFS (Perfect Forward Secrecy) aurait rendu inefficace sur long terme l'extraction des clés privées que permet Heartbleed, resterai plus que la cryptanalyse, dont l'efficacité dépend des algos de chiffrement utilisés... MAIS les gros services Web n'utilisent ni de crypto forte ni PFS pour la grande majorité, ils sont donc responsables puisqu'ils n'agissent pas dans l'intérêt des utilisateurs

Autant dire que je me marre quand je lis des média "geek" parler de Yahoo, Google et autres Microsoft (tous participants à PRISM) qui "vont protéger leurs utilisateurs contre la surveillance de la NSA en chiffrant les données" sans préciser "en refilant bien gentiment les clés privées à la NSA"

Donc même sans grosses failles catastrophiques, un chiffrement ne peut être fiable s'il est géré par des paties tierces (ici des entreprises) et hors de tout contrôle de l'utilisateur...

De plus l'usage de la crypto contre la surveillance gouvernementale n'est efficace qu'avec un usage massif de chiffrement fort (suffisamment pour résister longtemps) bout à bout, contrôlé PAR et uniquement par l'utilisateur sans partie tierce de "confiance" et qui les utilisateurs arrivent à préserver leurs anonymat (de loin la partie la plus difficile) pour la raison expliquée ci-dessous

Image

Tant que des gens n'auront "rien à cacher" et ne voient aucun problème avec la surveillance de masse, et que la crypto bout à bout restera utilisée par une minorité au lieu d'être suffisamment utilisée par la masse pour rendre la cryptanalyse trop coûteuse/pas assez efficace, et que des produits bourrés de mouchards continueront à avoir le monopole, que les audits de sécurité ne seront pas plus nombreux et plus efficaces, la situation continuera à s'empirer

Donc Heartbleed ou pas, ça change rien au problème du fond, cette sur-médiatisation est aussi ridicule que les politicards européens qui jouaient aux vierges effarouchées quand les infos sur PRISM sont devenues publiques

D'autant plus ridicule que les services de renseignements européens couchent avec la NSA depuis des années et qu'on fout partout dans les administrations/services publics et entreprises, du matériel et du logiciel US bourrés de backdoors, et que ça fait dès années qu'on savait ce que fait la NSA
Plusieurs années avant Snowden, il y a entre autres Russ Tice et Thomas Drake, pour ne citer que les deux là, mais l'hypocrisie générale continue...


Message édité le 2014-10-27 22:37:35 par MetalTux

[News]Heartbleed

15 avril 2014 à 22:04 Notsu      
Waw... j'ai mal au crane ( je sais pas trop ce qui est le pire : le post original en couleur bourré de lolilol on vous espionne, le grand méchant ricain, ou alors le pavé monolitique de MetalTux tout sauf accessible )

En tout cas, personnellement, je n'ai rien à cacher Faut pas oublier qu'on est sur un réseau, et comme tout réseau n'importe qui peut, et pourra écouter ce qui s'y passe, pour peu qu'il y mette les moyens. Et cette règle là est certainement la règle la plus importante en sécurité informatique ( et compréhensible par tous, lolol ) , à vous donc d'avoir un profil suffisament inintéressant pour que la somme des moyens nécessaire à vous fouiner soit supérieure à l'intérêt que vous avez à leurs yeux.

Bon..moi je vais me faire un dota, vous m'avez flingué les yeux.


Message édité le 2014-04-15 22:09:26 par Notsu

[News]Heartbleed

16 avril 2014 à 00:05 MetalTux    
Bravo, tu sais faire des vannes à deux sous, essayer de tourner la situation en ridicule sauf que "j'ai rien à cacher" est un argument aussi absurde que égoïste

Si tu n'a "rien à cacher" je suppose que ça te dérange pas qu'on foute des caméras partout chez toi, dans caque pièce sans exception, que quelqu'un te suive partout et note tout ce que tu fais, quand et où, que tes correspondances privées (papiers ou électroniques) soit publiquement étalées et que toutes infos personnelles (coordonnées, situation bancaire, dossier médical...) deviennent publiques

Mais évidemment, celui qui "n'a rien à cacher" s'en fout du droit à la vie privée de son entourage, puisqu'il contribue à leurs retirer ce droit sous prétexte qu'il "n'a rien à cacher"




Notsu a écrit:
à vous donc d'avoir un profil suffisamment inintéressant pour que la somme des moyens nécessaire à vous fouiner soit supérieure à l'intérêt que vous avez à leurs yeux.

Autrement dit fermer sa gueule et accepter tous les abus de la part des gouvernements/multinationales en dehors de tout cadre légal et en dehors de tout cadre éthique, et contribuer à faire d'Internet un simple espace de consommation... suivre le troupeau en gros, le meilleur "conseil" que j'ai jamais entendu !

J'imagine que pour toi, c'est normal aussi d'exporter du Deep Packet Inspection, et le vendre à des dictateurs, avec la bénédiction du gouvernement... après tout la ripoux-blique des fiches est "démocratie" (= oligarchie pour les gens qui ne causent pas novlangue) donc tout est acceptable tant que le gouvernement approuve

Je vois vraiment pas ce qu'il y a de difficile à comprendre dans les problèmes posées par la surveillance de masse, à part peu-être la mauvaise foie et assez de naïveté pour croire que "c'est pour lutter contre les méchants pédo-nazis des internets"... m'enfin, venant d'un mec qui me soutient que c'est "normal" d'avoir un mot de passe qui circule en clair sur un réseau que n'importe qui peut sniffer...


Message édité le 2014-04-16 00:17:29 par MetalTux

[News]Heartbleed

16 avril 2014 à 12:03 Goldberg  
Tient, v'la le parano, tu nous la déjà fais sur Windows celle la hein ;)
On a le droit d'avoir notre propre avis, même si ça te dérange hein
Ah ce niveau la, on se demande pk tu vis pas encore dans une grotte lol!
Bref, si on est un peu informer, on sais qu'on est surveiller et donc on agit en conséquence ou non suivant nos envie.
Ça change pas le probleme de cette faille, qui a mon gout, a été "caché" trop longtemps
C'est comme cette histoire, attendre que le FBI t'informe qu'on te pirate depuis 1 an, ça craint niveau sécurité!!


[News]Heartbleed

19 avril 2014 à 17:03 MetalTux    
Une faille qu'on a mis du temps à découvrir par manque d'audit tu appelle ça "cacher" comme si c'était volontaire et tu te permet de me traiter de parano ha ha ha, mais bien sur...

J'ai aussi le droit d'avoir mon avis même si ça semble te déranger... donc tes insultes tu te les gardes

Une dernière chose, personne n'a jamais prétendu (où du moins pas moi) que le 100% fiable existait en terme de sécurité, pas la peine de troller la dessus éternellement en déformant volontairement mes propos...