Une nouvelle vulnérabilité de sécurité majeure a été découverte dans la bibliothèque cryptographique populaire GnuTLS qui laisse penser que Linux serait vulnérable à la possibilité malveillante d’exécution, à distance, d’un code pirate.
GNUTLS est une bibliothèque libre qui exploite le SSL (Secure Socket Layer), le Transport Layer Security (TLS) et du Datagram Transport Layer Security (DTLS). Bref, des protocoles qui sont utilisés pour offrir aux utilisateurs des communications sécurisées, chiffrées, donc normalement illisible par un personne non autorisée. La faille se trouve dans la façon d’analyser les identifiants de session du serveur.
Red Hat apporte toutes les explications, et le correctif qui est obligatoire pour sécuriser ses communications. Un serveur malveillant pourrait exploiter cette vulnérabilité en envoyant une session ID tellement longue que la bibliothèque plante et permet, dans la foulée, l’exécution du code malveillant via un outil de connexion TLS/SSL.
En Mars dernier, une autre vulnérabilité avait été corrigée dans la bibliothèque GnuTLS bibliothèque. Elle permettait de créer un certificat spécialement conçu qui pouvait être ensuite accepté par GnuTLS via un site pirate.
Damien Bancal, expert reconnu en cybersécurité
Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles.
Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe.
Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
