OpenSSL : une nouvelle faille découverte, moins importante qu’Heartbleed

Il y a deux mois, une importante faille avait été repérée dans OpenSSL. Nommée Heartbleed, elle permettait à un pirate de récupérer des données sécurisées (données bancaires par exemple) de plusieurs utilisateurs en allant les chercher sur plusieurs sites Internet. OpenSSL est utilisé un peu partout de nos jours, autant dire que la faille, une fois révélée, a beaucoup fait parler. Aujourd’hui, une autre a été dévoilée. « Bonne » nouvelle, elle est moins importante que la première.

OpenSSL explique sur son site Internet que la nouvelle vulnérabilité permet à un pirate de voler les informations (mots de passe, données bancaires, etc) d’un utilisateur à la condition que les deux soient connectés sur le même réseau et qu’ils utilisent la même version d’OpenSSL. Le procédé utilisé est le « Man in the middle ». Même si en soi la faille est importante, elle reste en dessous d’Heartbleed au vu des différentes conditions requises pour que le vol d’informations puisse être effectué.

Plusieurs mises à jour d’OpenSSL sont déjà en ligne, il suffit aux personnes l’utilisant de passer sur la nouvelle version afin de voir la faille bouchée.