Google met à jour ses services pour arrêter le saignement

Logo Google AAL'Internet est en effervescence avec tous les nouvelles du bogue heartbleed qui a été découvert dans la bibliothèque de chiffrement OpenSSL populaire. Pour ceux qui ne connaissent pas, la bibliothèque OpenSSL avait un bogue qui signifie qu'une agence de cyber-criminel ou un gouvernement peut décrypter tout le trafic qui coulait sur une connexion prétendument sécurisée. La plupart d'entre nous utilisent des connexions sécurisées lorsque nous signons à Gmail ou Google Play etc et envoyons notre adresse e-mail et mot de passe Google pour vérification. Une connexion sécurisée est utilisée de sorte qu'une oreille indiscrète ne peut pas lire nos mots de passe. Ceci est vrai non seulement des services Google, mais tous les grands services utilisant le protocole HTTPS lorsque nous signons ou lorsque vous effectuez une transaction financière en ligne.

Google a annoncé qu'il a mis à jour la bibliothèque OpenSSL sur ses serveurs (et nous présumons révoqué les clés de certificats) pour la recherche, Gmail, YouTube, Porte-monnaie, Play, les applications, et App Engine. Le géant de la recherche indique que Google Chrome et Chrome OS ne sont pas affectés.

Heartbleed est particulièrement grave parce que le bug a été dans la bibliothèque OpenSSL pour deux ans et si un organisme gouvernemental a fait découvrir le bug (et n'a parlé à personne) puis tout le passé et l'avenir du trafic vers un site Web exploité est ouvert pour le décryptage. La raison en est que les véritables clés privées qui sont associés avec le certificat SSL d'un site peuvent être lues. Une fois que les clés ont été lus, puis tout le trafic vers et depuis le site peut être déchiffré même le trafic qui a été capturé auparavant et rangé dans une archive gouvernement profonde.



heartbleed

Tumblr a suggéré que, aujourd'hui pourrait être une bonne journée pour "appel à des malades et de prendre un certain temps de changer vos mots de passe partout, surtout de vos services de haute sécurité comme le courrier électronique, le stockage de fichiers, et de la banque. "Le problème avec les conseils de Tumblr est que jusqu'à ce que les principaux services donnent effectivement le clair du tout, comme Google a, puis en changeant votre mot de passe ne sera pas de toute valeur en tant que votre nouveau mot de passe peut être tout aussi rapidement compromise. Une seule fois, un service a mis à jour pour la dernière version de OpenSSL et révoqué son certificats les utilisateurs peuvent- sans encombre changer leurs mots de passe!



L'ironie est que Neel Mehta de Google a été effectivement crédité de trouver le bug.

Quelques-uns des services de Google sont toujours mis à jour le plus notable Couverture SQL, qui est Google dit être patché dès maintenant, et Google Compute Engine. Dans le cas de ce dernier Google affirme que ses clients ont besoin de mettre à jour manuellement OpenSSL sur chaque instance en cours d'exécution ou devraient remplacer les images existantes avec les versions, y compris une mise à jour OpenSSL.

Google a également signalé que Android est pas affectée par le bogue à l'exception d'Android 4.1.1. Le bug est appelé heartbleed que l'erreur est liée à l'extension de pulsation TLS. 4.1.2 Android désactivé l'utilisation de la fonctionnalité de battement de coeur pour une meilleure interopérabilité wpa_supplicant.

L'ironie est que Neel Mehta de Google a été effectivement crédité de trouver le bug, donc vous aurait pensé que Google avait une longueur d'avance sur la résolution du problème et de ses services aurait déjà dû être sécurisé avant que les nouvelles frappé le net. Peut-être que Google est devenu trop d'une entreprise pour qui être arrivé!




» » » Google met à jour ses services pour arrêter le saignement