L'une des vulnérabilités les plus connues du milieu des années 2010 s'appelait « Heartbleed ». Heartbleed était particulièrement grave car il affectait le logiciel « OpenSSL », la principale bibliothèque cryptographique pour les connexions HTTPS, qui sont très largement utilisées. Pour aggraver les choses, la vulnérabilité était présente dans OpenSSL depuis plus de deux ans avant d'être découverte, publiée et corrigée, ce qui signifiait que de nombreuses personnes utilisaient une version vulnérable.
Heartbleed était une vulnérabilité de fuite de données dans l'extension Heartbeat qui, lorsqu'elle était exploitée, faisait fuir les données de la RAM du serveur vers le client. L'extension heartbeat est utilisée pour maintenir une connexion entre le serveur Web et le client sans effectuer une demande de page normale.
Dans le cas d'OpenSSL, le client envoie un message au serveur et informe le serveur de la durée du message, jusqu'à 64 Ko. Le serveur est alors censé renvoyer le même message. Mais surtout, le serveur n'a pas vérifié que le message était aussi long que le client le prétendait. Cela signifiait qu'un client pouvait envoyer un message de 10 Ko, prétendre qu'il était de 64 Ko et obtenir une réponse de 64 Ko, les 54 Ko supplémentaires étant constitués des 54 Ko de RAM suivants, quelles que soient les données qui y étaient stockées. Ce processus est bien visualisé par la bande dessinée XKCD #1354 .
Image reproduite avec l'aimable autorisation de xkcd.com .
En faisant beaucoup de petites requêtes de pulsation et en prétendant qu'elles étaient volumineuses, un attaquant pouvait se faire une idée de la plupart de la RAM du serveur en rassemblant les réponses. Les données stockées dans la RAM qui pourraient être divulguées comprennent les clés de chiffrement, les certificats HTTPS, ainsi que les données POST non chiffrées telles que les noms d'utilisateur et les mots de passe.
Remarque : c'est moins connu mais le protocole heartbeat et l'exploit ont également fonctionné dans l'autre sens. Un serveur malveillant pourrait avoir été configuré pour lire jusqu'à 64 Ko de mémoire utilisateur par requête de pulsation.
Le problème a été découvert par plusieurs chercheurs en sécurité de manière indépendante le 1er avril 2014 et a été divulgué en privé à OpenSSL afin qu'un correctif puisse être créé. Le bogue a été rendu public lorsque le correctif a été publié le 7 avril 2014. La meilleure solution pour résoudre le problème était d'appliquer le correctif, mais il était également possible de résoudre le problème en désactivant l'extension de pulsation si le correctif immédiat n'était pas option.
Malheureusement, bien que l'exploit soit public et généralement bien connu, de nombreux sites Web n'ont toujours pas été mis à jour immédiatement, la vulnérabilité étant encore parfois découverte même des années plus tard. Cela a conduit à l'utilisation d'un certain nombre d'instances de l'exploit pour accéder à des comptes ou divulguer des données.
Chrome, par défaut, ne vous montre pas l'URL complète. Vous ne vous souciez peut-être pas trop de ce détail, mais si, pour une raison quelconque, vous avez besoin d'afficher l'URL complète, des instructions détaillées sur la façon de faire en sorte que Google Chrome affiche l'URL complète dans la barre d'adresse.
Reddit a encore modifié sa conception en janvier 2024. La refonte peut être vue par les utilisateurs de navigateurs de bureau et réduit le flux principal tout en fournissant des liens.
Taper votre citation préférée de votre livre sur Facebook prend du temps et est plein d'erreurs. Découvrez comment utiliser Google Lens pour copier du texte de livres sur vos appareils.
Parfois, lorsque vous travaillez sur Chrome, vous ne pouvez pas accéder à certains sites Web et obtenez une erreur « L'adresse DNS du serveur fixe est introuvable dans Chrome ». Voici comment résoudre le problème.
Les rappels ont toujours été le point fort de Google Home. Ils nous facilitent sûrement la vie. Faisons un tour rapide sur la façon de créer des rappels sur Google Home afin de ne jamais manquer de faire des courses importantes.
Nous avons tous des Snaps que nous souhaitons garder privés, qu'il s'agisse de photos personnelles ou simplement de quelque chose que vous ne voulez pas que quiconque utilise votre téléphone puisse voir. Vous pouvez déjà créer des histoires privées sur Snapchat, et désormais, pour ces Snaps privés supplémentaires, vous pouvez protéger votre confidentialité sur Snapchat avec la fonctionnalité My Eyes Only Snapchat.
Votre disque de stockage interne de 825 Go de votre PlayStation 5 semble beaucoup, mais les jeux vidéo modernes peuvent être volumineux. De nombreux titres exigent plus de 50 Go, certains dépassant même 100 Go.
Lorsque vous souhaitez envoyer le même e-mail à vos clients, employés, membres de club ou à un groupe similaire, vous pouvez saisir un e-mail une fois et envoyer un message à tout le monde à l'aide de l'outil de fusion et publipostage Gmail. Autrefois surnommée fonctionnalité « envoi multiple », le publipostage dans Gmail vous permet d'insérer des contacts Google ou une liste de diffusion à partir de Google Sheets.
Comment changer votre mot de passe sur le service de streaming vidéo Netflix à l'aide de votre navigateur préféré ou de votre application Android.
Parfois, les applications peuvent se charger lentement, planter ou occuper trop d'espace de stockage. Effacer les données mises en cache de votre téléphone peut aider à résoudre ces problèmes et à libérer de l'espace pour d'autres fichiers importants.
