Faille SSL Heartbleed : Audit du top 500 des sites Internet Français
La nouvelle faille SSL Heartbleed (CVE-2014-0160) qui fait trembler Internet depuis ces dernières heures semble toucher de nombreux sites Web sur la toile d'après les premiers articles publiés.
Cette faille peut permettre à un pirate de lire jusqu'à 64Ko de la RAM d'un serveur web distant sans aucune trace d'intrusion. Je vous laisse imaginer les informations auxquelles un attaquant pourrait avoir accès à distance et les conséquences associées.
Analyse des 500 plus gros sites français
Pour vérifier l'impact de cette faille sur les 500 plus gros sites Internet français , j'ai développé en quelques lignes un script en PHP qui extrait le top 500 des sites internet français du classement Alexa et qui les audite grâce à l'application Heartbleeder téléchargeable ici.
<?php
for ($i = 0; $i< 19 ;$i++){
$page = file_get_contents("https://www.alexa.com/topsites/countries;".$i."/FR");
preg_match_all('/<a href=\"\/siteinfo\/[\da-z\.-]+\.[a-z\.]{2,6}\">(.*)<\/a>/i', $page, $matches);
foreach ($matches[1] as $match){
echo "# ".$match;
$result = exec("./heartbleeder $match");
if (preg_match('/VULNERABLE/i',$result)){
echo (' :: VULNERABLE');
}
echo "</br>";
}
}
?>
Voici le résultat de l'exécution de mon script cette nuit :
- Google.fr :: VULNERABLE
- Google.com :: VULNERABLE
- Facebook.com
- Youtube.com :: VULNERABLE
- Wikipedia.org :: VULNERABLE
- Yahoo.com :: VULNERABLE
- Leboncoin.fr
- Orange.fr
- Amazon.fr
- Live.com
- Free.fr
- Linkedin.com
- Twitter.com
- Lemonde.fr
- Lefigaro.fr
- Adcash.com
- Ebay.fr
- Tukif.com
- Commentcamarche.net
- Wordpress.com
- Tumblr.com :: VULNERABLE
- Allocine.fr
- Lequipe.fr
- Ad6media.fr
- Viadeo.com
- Linternaute.com
- Pagesjaunes.fr
- Sfr.fr
- Nouvelobs.com
- Akamaihd.net
- Jeuxvideo.com
- Programme-tv.net
- Leparisien.fr
- Xhamster.com :: VULNERABLE
- Dailymotion.com
- Cdiscount.com
- Over-blog.com
- Pinterest.com :: VULNERABLE
- Msn.com
- M2newmedia.com
- T.co
- Ovh.com
- 20minutes.fr
- Instagram.com :: VULNERABLE
- Pole-emploi.fr
- Microsoft.com
- Bing.com
- Lexpress.fr
- Priceminister.com
- Societe.com
- Apple.com
- Vube.com
- Stackoverflow.com :: VULNERABLE
- Paypal.com
- Voyages-sncf.com
- Journaldunet.com
- Xvideos.com
- Clkmon.com
- Credit-agricole.fr
- Livejasmin.com
- T411.me
- Aufeminin.com
- Ovh.net
- Fnac.com
- Deezer.com
- Vente-privee.com
- Boursorama.com
- Reverso.net
- Tf1.fr
- Ask.com
- Meteofrance.com
- Youporn.com
- Labanquepostale.fr
- Bfmtv.com
- Liberation.fr
- Laposte.net
- Pornhub.com
- Lesechos.fr
- Wordreference.com
- Amazon.com
- 01net.com :: VULNERABLE
- Outbrain.com :: VULNERABLE
- Seloger.com
- Lepoint.fr
- Adxcore.com :: VULNERABLE
- Gameforge.com
- Clubic.com
- Booking.com
- Huffingtonpost.fr
- Googleusercontent.com
- Doctissimo.fr
- Openclassrooms.com :: VULNERABLE
- Webrankinfo.com
- Dpstream.net :: VULNERABLE
- Prestashop.com :: VULNERABLE
- Bnpparibas.net
- Badoo.com :: VULNERABLE
- Vimeo.com
- Caisse-epargne.fr
- Zone-telechargement.com :: VULNERABLE
- Wikimedia.org :: VULNERABLE
- Wordpress.org :: VULNERABLE
- Canalblog.com
- Service-public.fr
- Societegenerale.fr
- Cpasbien.me :: VULNERABLE
- Francetvinfo.fr
- Imgur.com
- Canalplus.fr
- Rueducommerce.fr
- Caf.fr
- Canadaalltax.com
- Flickr.com :: VULNERABLE
- Vivastreet.com
- Banquepopulaire.fr
- Mysearchdial.com :: VULNERABLE
- Colissimo.fr
- Themeforest.net
- Developpez.net
- Eurosport.fr
- Neobux.com :: VULNERABLE
- Voila.fr
- Tripadvisor.fr
- Conduit.com
- Skyrock.com
- Redtube.com :: VULNERABLE
- Adobe.com
- Ouest-france.fr
- Aliexpress.com
- Leroymerlin.fr
- Admngronline.com
- Marmiton.org
- Yeslibertin.com :: VULNERABLE
- Paruvendu.fr
- Imdb.com
- Meetic.fr
- Europe1.fr :: VULNERABLE
- Laredoute.fr
- Google.co.uk :: VULNERABLE
- Ratp.fr
- Indeed.fr
- Lcl.fr
- Bouyguestelecom.fr
- Ebay.com
- Php.net :: VULNERABLE
- Kickass.to :: VULNERABLE
- Slideshare.net
- Hardware.fr
- 1and1.fr
- Forgeofempires.com
- Fotolia.com
- Reddit.com
- Thepiratebay.se
- Linguee.fr
- Xnxx.com
- Laposte.fr
- Blogspot.com :: VULNERABLE
- Potins.net
- Goodgamestudios.com
- Soundcloud.com
- Ikea.com
- Scoop.it :: VULNERABLE
- Zimbra.free.fr :: VULNERABLE
- Rtl.fr
- Lesnumeriques.com
- Castorama.fr :: VULNERABLE
- Ladepeche.fr
- Adopteunmec.com :: VULNERABLE
- Larousse.fr
- Apec.fr
- 1fichier.com :: VULNERABLE
- Interieur.gouv.fr
- Metronews.fr
- Journaldesfemmes.com
- Atlantico.fr
- Sourceforge.net
- Mappy.com
- Lacentrale.fr
- Mes-meilleurs-films.fr
- Mozilla.org
- Darty.com :: VULNERABLE
- Creditmutuel.fr
- Thefreecamsecret.com
- Amoureux.com
- Purepeople.com
- E-monsite.com :: VULNERABLE
- Deviantart.com
- Leguide.com
- Uptobox.com :: VULNERABLE
- Uploaded.net :: VULNERABLE
- Zanox.com
- Footmercato.net
- Sudouest.fr
- France3.fr
- Showroomprive.com
- Carrefour.fr
- Battle.net
- Alibaba.com
- Koramgame.com
- Ldlc.com
- Openadserving.com
- Semrush.com
- Bestusefuldownloads.com
- Tradedoubler.com
- Koreus.com :: VULNERABLE
- Adserverpub.com
- Wiktionary.org :: VULNERABLE
- Pap.fr
- Fdj.fr
- Minutebuzz.com
- Netvibes.com :: VULNERABLE
- Slate.fr :: VULNERABLE
- Egaliteetreconciliation.fr :: VULNERABLE
- Ameli.fr
- Awesomehp.com
- Cam4.fr
- Latribune.fr
- Github.io
- Jeanmarcmorandini.com
- 9gag.com :: VULNERABLE
- Twitch.tv
- Papystreaming.com
- Bp.blogspot.com
- Zalando.fr
- Scrutins.net
- Portail.free.fr
- Alsacreations.com
- You-will-date.com
- Journaldugeek.com
- Dropbox.com :: VULNERABLE
- Dl-protect.com :: VULNERABLE
- Tomsguide.fr
- Wikia.com :: VULNERABLE
- Mobile.free.fr
- Asos.fr
- Github.com :: VULNERABLE
- Groupon.fr
- Topito.com
- Airfrance.fr
- Onvasortir.com
- Frandroid.com
- Imp.free.fr
- Spi0n.com :: VULNERABLE
- Betclic.fr
- Files.wordpress.com
- Francetv.fr
- Tube8.com
- Ad2games.com :: VULNERABLE
- Telerama.fr
- Lavoixdunord.fr
- Frenchweb.fr
- Decathlon.fr
- Impots.gouv.fr
- Torrentz.eu :: VULNERABLE
- 3suisses.fr
- Voici.fr :: VULNERABLE
- Mediapart.fr
- Centerblog.net
- Materiel.net :: VULNERABLE
- Systweak.com
- Forumactif.com
- Hellocoton.fr
- Pcinpact.com
- Bbc.com
- Comprendrechoisir.com :: VULNERABLE
- Korben.info :: VULNERABLE
- Cic.fr
- Vpsdomain4.eu
- Archive.org :: VULNERABLE
- Premiere.fr :: VULNERABLE
- Themightyquest.com
- Zeobit.com :: VULNERABLE
- Snapdo.com
- Full-stream.net :: VULNERABLE
- Bbc.co.uk
- Aeriagames.com
- Shutterstock.com
- Onclickads.net
- Wix.com
- Legifrance.gouv.fr
- Millenium.org :: VULNERABLE
- Challenges.fr
- Chaturbate.com :: VULNERABLE
- Lachainemeteo.com
- Netaffiliation.com
- Amazonaws.com
- Arte.tv
- Gandi.net
- Logic-immo.com
- Wawa-mania.ec
- Adsl.free.fr
- Softonic.fr
- Vk.com
- Viamichelin.fr
- Jacquieetmicheltv.net
- Alittlemarket.com
- Trovigo.com
- Doublepimp.com
- W3schools.com
- Paris.fr :: VULNERABLE
- Gamekult.com
- Auchan.fr
- Covoiturage.fr :: VULNERABLE
- Boulanger.fr
- Forum-auto.com
- Mailchimp.com
- Iminent.com
- Urssaf.fr
- Pagesperso-orange.fr
- Gentside.com :: VULNERABLE
- Wannonce.com :: VULNERABLE
- Midilibre.fr
- Netechangisme.com
- Spartoo.com :: VULNERABLE
- Travelagency.travel
- Loading-delivery1.com
- Monster.fr
- Rapidgator.net
- Appround.us
- Doodle.com :: VULNERABLE
- Stackexchange.com :: VULNERABLE
- Coqnu.com
- Webmaster-rank.info
- Purevid.com
- Codecanyon.net
- Xcams.com
- Mediaplex.com
- Gameblog.fr
- Futura-sciences.com
- 6play.fr
- Megavod.fr
- Amazon.co.uk
- Ubuntu-fr.org
- Yelp.fr :: VULNERABLE
- Xe.com :: VULNERABLE
- Dailymail.co.uk
- Radins.com :: VULNERABLE
- Franceinfo.fr
- Bizpowa.com :: VULNERABLE
- Skype.com
- Kimsufi.com
- Letudiant.fr
- Feedly.com
- Grooveshark.com
- Fastdailyfind.com
- Aweber.com
- Speedanalysis.net
- Hootsuite.com
- Media.tumblr.com :: VULNERABLE
- Youjizz.com
- Directrev.com
- Domaintools.com
- Ask.fm
- Easyjet.com
- Abritel.fr
- Etsy.com
- Mmotraffic.com
- Pixmania.com
- France2.fr
- Cdn4711.net :: VULNERABLE
- Aol.com
- Programme.tv :: VULNERABLE
- Maxidivx.com
- Ebay.co.uk
- Cadremploi.fr
- M6.fr
- Maville.com
- Tuxboard.com
- Blogger.com :: VULNERABLE
- Theguardian.com
- Searchfun.in
- Jeu.info
- Demotivateur.fr
- Startertv.fr
- Presse-citron.net
- Opodo.co.uk
- Sarenza.com
- Megacinema.fr
- Leagueoflegends.com :: VULNERABLE
- Planet.fr
- Buzzfeed.com
- Wifi.free.fr
- Madmoizelle.com
- Ledauphine.com
- Easyvoyage.com
- Hm.com
- Wordpress-fr.net
- Addthis.com :: VULNERABLE
- Babylon.com
- Effiliation.com
- Google.es :: VULNERABLE
- Edreams.fr
- Openask.com :: VULNERABLE
- Adf.ly :: VULNERABLE
- Zdnet.fr
- Foozine.com :: VULNERABLE
- Delta-search.com
- Dealabs.com
- Konbini.com
- About.com
- Elle.fr :: VULNERABLE
- Cuisineaz.com
- Unblog.fr
- Wetransfer.com :: VULNERABLE
- Gizmodo.fr
- W3.org
- Europa.eu
- Conforama.fr
- Parisexe.com
- Downparadise.ws
- Routard.com
- Femmesdispo.com
- Brandalley.fr
- Majesticseo.com
- 22find.com
- Soonnight.com
- Beeg.com :: VULNERABLE
- Oxatis.com
- Mycanal.fr
- Macg.co
- Numericable.fr
- Generation-nt.com
- Steampowered.com
- Frenchtorrentdb.com
- Turbobit.net :: VULNERABLE
- Homelidays.com
- Dailygeekshow.com
- Newhdplugin.net
- Lesinrocks.com
- Microsoftonline.com
- Yac.mx
- Sofoot.com
- Jeuxonline.info
- Ranks.fr :: VULNERABLE
- Twenga.fr
- Numerama.com
- Hardsextube.com
- Gtmetrix.com
- Insee.fr
- Maxifoot.fr
- Universfreebox.com
- Mondialrelay.fr
- Jacquieetmicheltv2.net
- Pubeco.fr
- Abondance.com
- Viedemerde.fr :: VULNERABLE
- Sports.fr :: VULNERABLE
- Ozap.com
- Motherless.com :: VULNERABLE
- Ma-reduc.com
- Fnacspectacles.com
- Jimdo.com
- Cloudfront.net
- Prizee.com
- Caradisiac.com
- Westernunion.fr
- Bwin.fr
- Education.gouv.fr
- Pmu.fr
- Online.net
- Forumconstruire.com
- 750g.com
- Letribunaldunet.fr
- Huffingtonpost.com
- Publicidees.com
- Vide-greniers.org :: VULNERABLE
- Cnn.com
- Airbnb.fr :: VULNERABLE
- Joomla.fr :: VULNERABLE
- Hsbc.fr
- Xlovecam.com
- Cloudify.cc
- Z5x.net
- Qadabra.com
- Duckduckgo.com :: VULNERABLE
Sur les 500 plus gros sites français 97 sont aujourd'hui vulnérables à cette faille SSL, soit quasiment 20% des sites