Everything on fire

Four… I mean five… I mean FIRE!!! cette semaine tout est en feu et je ne parle même de la RASD avec ces trois bazookas et deux mitraillettes qui ne veut plus quitter Guerguarate, ni de J. K. Rowling qui vient de découvrir que tout le monde peut se faire mal sur internet grâce à l’affaire Pewdiepie, ni de l’erreur de PWC pendant les oscars…

Je parle bien sûr de:

  • La démonstration de la possibilité de collisions de SHA1.
  • CloudFlare: Cloudbleed.
  • La panne de Amazon AWS S3.

Collisions SHA1

Les faits

Google a annoncée le 23 février 2017 la génération de la première collision de la fonction de hachage SHA1, il faut rappeler que SHA1 est une fonction très prisée dans le domaine de la sécurité informatique pour sa rapidité et la facilité de son utilisation.

Une collision de fonction de hachage veut dire que deux blocs de données différents peuvent avoir la même signature, pour SHA1 la collision a été démontré théoriquement en 2005 mais Google a réussi à donner la preuve  la semaine dernière en générant deux fichiers PDF avec une signature SHA1 identique.

L’impact

Une exploitation de cette collision ne s’est pas fait attendre (même si accidentelle), le dépôt WebKit est devenu inutilisable après l’upload des deux PDFs générés par Google pour tester l’impact sur Webkit qui est le moteur de rendu de page web utilisé par tellement d’outils et logiciel qu’on ne pourra pas tous vous citer (Safari, Konqueror, Adobe Integrated Runtime, Mac OS X Mail, Mac OS X Dashboad, Steam…).

La fonction de hachage SHA1 est utilisé dans plusieurs domaines et par plusieurs outils (SVN, Git…) surtout pour les signatures numériques.

Cloudbleed

Les faits

Cloudflare est un service de proxy inverse,  il est presque certain que vous êtes passé par ce service en visitant votre site préféré même au Maroc plusieurs plate-formes connus l’utilisent… un bug (dépassement de mémoire) à été découvert sur les serveurs de la compagnie et qui faisaient que des données privées étaient de certains clients étaient envoyé à d’autres, le pire est que les moteurs de recherche gardaient ces données en cache.

L’impact

En bref plusieurs millions d’utilisateurs se retrouvent avec leurs données privées (mots de passes inclut) dans la nature puisque le bug existe depuis septembre 2016, n’as été découvert officiellement que le 17 février et n’as été corrigé que cette semaine.

Amazon AWS S3

Hier le 28 février 2017 vers 17H45 GMT AWS S3 qui est un service d’hébergement de fichier par la société Amazon est devenu hors service, ce qui impacté plusieurs plate-formes, sites web, applications mobiles, objets connectés (Iot) utilisants ce service (Le Hub de dépôt Docker, Trello, Travis CI, GitHub, GitLab, Quora, Medium, Signal, Slack, Imgur, Twitch.tv, Razer, Adobe’s cloud, Zendesk, Heroku, Coursera, Bitbucket, Twilio, Mailchimp, Citrix, Expedia, Flipboard, Yahoo! Mail…).

Update 04/03/2017: Amazon a expliqué que l’incident a été causé par une erreur au niveau d’une commande exécutée par un des membres de l’équipe AWS3.

Les leçons de la semaine

La perfection n’existe pas: alors il faut toujours avoir des sauvegardes et un processus de continuité de services.

Il ne faut pas mettre tous ses œufs dans le même panier: les sauvegardes et la reprise de service doivent se faire via un autre hébergeur pour éviter qu’il ne devienne le point unique de défaillance de votre plate-forme (Single point of failure).

Laisser un commentaire