[Linux-bruxelles] avertissement sur SSL

Jean-Marc jean-marc at 6jf.be
Jeu 3 Mar 13:59:36 CET 2016 

Thu, 3 Mar 2016 11:35:19 +0000
Jean-Marie GODFRAIND <godfraind_jm at hotmail.com> écrivait :

> 
> Merci pour la réponse.

Rappel : DROWN est attaque de type "l'homme au milieu" qui permet d'exploiter une faille de sécurité d'un vieux protocole SSLv2 datant des années 90 et marqué comme obsolète depuis 2011 pour obtenir les certificats d'un serveur. Ces certificats peuvent parfois être utiliés par la suite pour déchiffrer les communications utilisant les nouvelles versions de protocole de chiffrement comme TLS.

> 
> Déjà savoir qu'il faut mettre à jour le OpenSSL si on l'utilise, me semblait une info utile, évidemment pas pour tous. En ce qui me concerne, j'utilise le ssh et yunohost, donc ce qui implique OpenSSh.

Si tu offres des services sur un serveur, oui, il faut mettre à jour openSSL.

Cette faille n'impacte pas openSSH mais openSSL.

> 
> Pour la majorité, savoir que même un site "https" pourrait ne pas être sécurisé, est quand même à garder en mémoire.

Bon, alors, il faut savoir que la sécurité absolue n'existera jamais.

Et que les administrateurs sont des gens comme tout le monde.

Garder cela en mémoire permet effectivement de relativiser.

> 
> Et tout cela fait suite aussi au débat sur la cryptographie accessible à "monsieur tout le monde" -utilisateur lambda-" vu que l'avertissement actuel fait suite à un vieux logiciel de cryptographie "affaibli volontairement il y a plusieurs années par les autorités", et qui continuait à être utilisé.

Le fait que SSLv2 (la faille vient d'une exploitation des faiblesses de ce protocole) marqué comme obsolète depuis 2011 soit encore utilisé par certains sites n'est pas du ressort de monsieur tout-le-monde mais plutôt des administrateurs qui ne l'ont pas désactivé.

> 
> Jean-Marie
> 
> PS: je dois encore contrôler le système OpenSSh que j'utilise, et voir s'il y a un avertissement sécurité.

Il n'y a pas d'avertissement de sécurité lié à DROWN pour openSSH à ma connaisssance.

Jean-Marc <jean-marc at 6jf.be>
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: non disponible
Type: application/pgp-signature
Taille: 819 octets
Desc: non disponible
URL: </pipermail/linux-bruxelles/attachments/20160303/46564781/attachment-0003.sig>

Plus d'informations sur la liste de diffusion Linux-bruxelles