Explications de la faille HeartBleed



La faille HeartBleed est provoqué par une erreur au niveau de HeartBeat du protocole OpenSSL.
Pour vérifier que la connexion SSL soit fonctionnelle, le client va envoyer des données au serveur qui, à son tour, va renvoyer ces données au client. Seulement, le serveur ne vérifie pas que la quantité de données reçues correspond à la quantité de données renvoyées. Ainsi, le client peut envoyer 1000 octets et recevoir 1000 octets + 50 000 octets, ces 50 000 octets proviendront donc de la mémoire du serveur, pouvant contenir des informations sensibles (code source, mot de passe/identifiants, codes CB, enfin tout ce qui est enregistré sur le serveur ou la base de données). C'est une faille côté serveur.