Une faille critique dans les versions 1.0.1 à 1.0.1f d'OpenSSL a été découverte ce lundi 7 Avril 2014


Cette faille est appelée « Heartbleed bug »en Anglais,  et porte la référence CVE-2014-0160.

Cette faille doit être prise très au sérieux. Elle permet en effet à n’importe qui d’accéder, sans posséder le moindre identifiant ou mot de passe, à des données normalement encryptées dans un serveur. Ces données peuvent aussi bien être des informations sans conséquence que des documents sensibles, des mots de passe… voire même la clé privée de votre certificat SSL,qui rend le décryptage de tout contenu possible, ainsi que l’usurpation de votre identité sur le web.

Il n’est pas possible pour le moment de savoir si cette faille a déjà été massivement exploitée. Et il ne sera pas possible du tout de savoir si votre serveur a déjà été attaqué suite à ce bug.

Vérifiez immédiatement si vos serveurs (hébergement web, pare-feux, messagerie) sont vulnérables.

Si vous n’utilisez pas OpenSSL, vous n’avez rien à craindre. 

Rendez-vous sur heartbleed.datacampus.fr, ou cliquez sur le bouton ci-dessous afin de tester vos serveurs accessibles par internet. Ce site est hébergé en France, et sécurisé par notre partenaire SSL247.


Si votre serveur est détecté comme vulnérable :

1- Commencez par mettre à jour votre version d’OpenSSL. La dernière version, qui corrige le bug CVE-2014-0160, est la 1.0.1g (Debian 7 Wheezy): 1.0.1e-2+deb7u6).

2- Vous devez ensuite impérativement réémettre votre certificat SSL. Ceci nécessite de générer un nouveau CSR avec la dernière version d’OpenSSL. Vous pouvez bien sûr en profiter pour renouveler votre certificat SSL dès maintenant. N'hésitez pas à nous contacter au 09 80 08 25 47 pour un devis (certificat seul, certificat + installation, mise à jour+certificat+installation).

3- Une fois votre nouveau certificat réémis et installé, vérifiez bien que l’ancien certificat ait été révoqué.

4- Par mesure de sécurité, changez un maximum de mots de passe. Considérez toutes vos clés temporaires et cookies de sessions comme potentiellement compromis.

Nous sommes à votre disposition, n’hésitez surtout pas à nous appeler au 09 80 08 25 47 si vous avez des questions, ou envoyez-nous un e-mail à contact@asperience.fr.

Grâce à l'ouverture du code de OpenSSL et à la communauté du logiciel libre, le correctif a été disponible en quelques heures sur des dizaines de systèmes d'exploitation (Linux, Windows, Mac OS), lorsque cela demande des jours, voire des mois, certaines failles n'étant tout simplement jamais corrigées sur les logiciels propriétaires.


Des alertes récentes mineures de vulnérabilité ont été lancées également sur les produits:
 
  • Microsoft Word (alerte)
  • WordPress
  • Citrix VDI-in-a-Box
  • Google Chrome
  • Adobe Flash
  • produits Juniper
  • produits Cisco
  • Microsoft Publisher
  • Microsoft Windows
  • Microsoft Internet Explorer
  • Microsoft Office
  • Apple Safari
  • EMC VPLEX GeoSynchrony
  • Cisco IOS
  • IBM Lotus Protector for Mail Security
  • Mozilla Firefox pour Android
Alors n'oubliez pas de mettre à jour vos logiciels.