Adamantiadis Aris

La faille « heartbleed », permettant de voler des données dans la mémoire de serveurs TLS, a fait couler déjà beaucoup d'encre, par son aspect critique. Cet article concerne une autre faille d'implémentation de certains serveurs utilisant libcrypto, comme stunnel (mode fork) ou libssh, qui permet dans certaines conditions d'extraire la clef privée du serveur, et porte les charmants noms de CVE-2014-0017 et CVE-2014-0016.

La cryptographie est un outil magnifique et est intimement liée à la sécurité informatique. De nombreux algorithmes et protocoles sont disponibles gratuitement pour sécuriser vos applications. Cependant, l'utilisation d'outils cryptographiques ne s'improvise pas, et il y a quelques pièges à éviter.