testssl.sh : tester la sécurité d’un serveur HTTPS (et autres protocoles derrière TLS/SSL)

Via ISC SANS : Une nouvelle version de testssl.sh, un script permettant de déterminer quelle est le niveau de sécurité du chiffrement utilisé sur un site, est disponible. Ce script permet aussi de tester d’autres protocoles que HTTPS, regarde les différents algos utilisables (ex: RC4) et vérifie si le serveur a été patché contre CRIME, … Continuer la lecture de testssl.sh : tester la sécurité d’un serveur HTTPS (et autres protocoles derrière TLS/SSL) 

FREAK : encore une faille SSL/TLS

Via FreakAttack, WebSense, NEXTINpact : Et oui ! Encore une vulnérabilité dans SSL/TLS, ou devrais-je plutôt dire dans les implémentations OpenSSL et SecureTransport (Apple) de ces protocoles. Lors de l’établissement d’une connexion SSL entre un serveur et un client une négociation a lieu afin de se mettre d’accord sur une « cypher suite », c’est à dire … Continuer la lecture de FREAK : encore une faille SSL/TLS 

SSL, Windows… les dernières failles à la mode

Alors que Google annonce la faille SSL POODLE, Microsoft a poussé avec patch tuesday de nombreux correctifs de sécurité destinés à corriger notamment des failles 0day récentes utilisées dans des attaques ciblées dont a pu parler iSIGHT (APT venant de Russie), CrowdStrike (APT venant de Chine) et FireEye. Pas un temps à mettre un Windows … Continuer la lecture de SSL, Windows… les dernières failles à la mode 

Heartbeat : OpenSSL touché par une importante vulnérabilité

 Illico presto, armez vos apt-get, zypper, pacman et appliquez la mise à jour de sécurité dans OpenSSL : la vulnérabilité Heartbeat permet de récupérer des données aléatoirement dans la mémoire d’un client ou serveur utilisant OpenSSL. Dangereux ? Oui, il est ainsi possible de récupérer des cookies ou pire des clés, passwords et compagnie. A … Continuer la lecture de Heartbeat : OpenSSL touché par une importante vulnérabilité