Re : Heartbleed : la faille d'OpenSSL, et joomla ?

J'ai trouvé cet outil pour tester votre site :

http://filippo.io/Heartbleed/

Re : Heartbleed : la faille d'OpenSSL, et joomla ?

Bonjour

C'est le buzz du moment, alimenté par quantité d'articles écrits par des gens qui n'ont pas (forcément) de compétences techniques. Les journalistes pensent qu'il est bon de relayer l'info... Te souviens-tu du bug de l'an 2000 ? Un énoooooooorme pétard mouillé et pourtant, tout le monde en parlait, tout le temps. Toutes les grosses sociétés ont pris peur et ... ffffffffff. Nul bug à l'horizon.

Permets-moi de copier/coller un message que j'ai écris hier sur mon FB (https://www.facebook.com/aesecure/posts/271278193033289) :

#‎Heartbleed‬ Depuis quelques jours, impossible d'échapper au buzz du bug SSL connu sous le nom de Heartbleed. Perso, cela me fait penser au pétard mouillé de l'an 2000 mais bon... De ce que j'ai compris : la faille est au niveau du certificat SSL sur les sites web vulnérables.

Faut-il changer de mot de passe ? La réponse est : oui mais pas comme des cowboys.

Le bug est au niveau du certificat ==> tant que le site en question n'a pas mis à jour son certificat, il est totalement inutile de changer de mot de passe puisque le site est toujours vulnérable.

Perso, depuis des années, j'utilise ‪#‎LastPass‬ pour gérer mes mots de passe et cet outil permet de scanner les sites pour déterminer si le certificat a été mis à jour ou pas. Dès que LP détecte une mise à jour du certifcat, il vous donne l'indication "Go update!". Tant que c'est "Wait"; cela ne sert à rien.


Le bug ne touche pas Joomla mais le serveur qui a un protocole https car il y a une faille dans la gestion de la réponse faite à une simple requête "Serveur es-tu là?"



La réponse faite par le serveur pourrait donner plus d'informations que requises et un éventuel pirate pourrait obtenir de l'info qui ... pourrait reprendre des mots de passe (beaucoup de conditionnel dans ma phrase).

Que faut-il faire ?

Suivre l'évolution des mises à jour des certificats sur les sites où tu as des comptes (comme je le dis sur FB, perso, j'utilise LastPass pour suivre cela) et ensuite, je change gentiment mes mots de passe. Sachant que 1. c'est bon de changer de temps à autre et que 2. je pense que le risque est quasi null

Perso, Heartbleed, c'est juste l'occasion de faire le ménage de printemps et de réinitialiser mes mots de passe. Si cela te tente, voici un article où je décrit ma stratégie de mot de passe : "Et vous, c'est quoi votre couple login/mot de passe ? " http://aesecure.com/fr/blog/60-bien-...-de-passe.html

Bonne journée.

Re : Heartbleed : la faille d'OpenSSL, et joomla ?

Salut,
juste pour info.
Pour l'instant, joomlart.com est le seul site joomla qui m'ait demandé par mail de changer mon mot de passe.

Depuis que je me suis fait chourrer un compte gmail (pas important, heureusement) à cause d'un mdp trop simple,
*j'ai changé tous mes mdp gmail
*comme cavo, mes mdp, quels qu'ils soient (joomla/mails/etc ... ) sont générés aléatoirement et composés d'un minimum de 20 digits ... et non je ne me souviens d'aucun mdp ...

Et dans la série, Microsoft, sont-ce vraiment des gens sérieux ?, j'ai du modifier le mdp d'un pote (un peu gogol du net, il est vrai) sur hotmail, et je ne pouvais entrer que 8 digits ...

Re : Heartbleed : la faille d'OpenSSL, et joomla ?

Je confirme; même chose de mon côté.

Je confirme aussi en ajoutant que les mots de passes de MS Office 2010 sont limités à 14 caractères. C'est juste idiot d'avoir mis une limite aussi basse.