Bonjour uld,

Ne vous inquiètez pas !

Cette faille ne touche pas ING.

Voici un sujet pour vous :

https://communaute.ingdirect.fr/t5/Compte-Courant/Heartbleed/m-p/10673/highlight/true#M1570

Cdlt

Bonjour, je ne parle pas de la faille Heartbleed, mais de la faille CVE-2014-0224  ( confère https:// cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224 )

Le site de consultation des comptes bancaires secure.ingdirect.fr est bien vulnérable a cette faille et à une potentielle attaque man-in-the-middle

D'accord ! Vulnérable veut il dire exploitable ??

Exploitable celà dépend surtout du client.

La vulnérabilité est exploitable si le serveur et le client utilisent tous les deux des version vulnérables d'OpenSLL branche 1.0.1

Généralement les navigateurs internet n'utilisent pas OpenSSL, mais tous les utilisateurs qui utilisent des clients basés sur OpenSSL sont vulnérables, celà peut aller de navigateurs sous système d'exploitation Android, à ceux qui utilisent un VPN sous OpenVPN ( mon cas par exemple) etc etc...

Si évidement le serveur n'était pas basé sur la version vulnérable d'OpenSLL de la branche incriminée, l'exploitabilité de la faille deviendrait caducque, même si le client était impacté.

D'où ce message sur le forum afin de savoir si les serveurs frontaux d'ING direct allaient être mis à jour rapidement ou non.

Tout à fait !

Je pense que la sécurité est de taille sur un tel portail ! Surtout face à des failles connues.

ING utilise t'il OpenSSL ... j'en doute !

Oui ING utilise OpenSSL, confère preuve sur http:// csc.cyberoam.com/cyberoamsupport/webpages/scans/index.jsp?d=secure.ingdirect.fr   

Ok !

On va attendre du coup confirmation si leur version est telle qu'il n'y a plus de vulnérabilité!

Merci Myriam pour la confirmation !

Cdlt