Au début du mois d’Avril la librairire OpenSSL, utilisée par près de 80% des sites web mondiaux, a révélé une faille de sécurité majeure.
Nous vous proposons de retrouver ici les patchs, plug-ins, outils de test et autres conseils, qui vous seront utiles pour ne faire de Heartbleed qu’un mauvais souvenir.

Serveurs webs, VPN, proxy, l’inventaire de tous les systèmes potentiellement touchés par Heartbleed est long et fastidieux.
Une fois celui-ci réalisé, voici quelques solutions concrètes pour vous aider à mesurer les risques encourus et à protéger votre système d’information.

heartbleed atout dsi

1. Correctif OpenSSL

La communauté de développeurs qui soutient le projet OpenSource OpenSSL a déjà apporté un correctif à la version défectueuse, vous trouverez ici la version 1.0.1g.

2. Add-on Chrome & Firefox

Les navigateurs Chrome et Firefox ont mis à disposition de leurs utilisateurs des add-on permettant d’évaluer la vulnérabilité des sites visités : Chromebleed  et Netcraft.

3. Outils Qualys & McAfee

Qualys et McAfee ont édité à l’occasion de la faille Heartbleed deux outils dédiés, afin de tester la vulnérabilité de vos processus.

4. Confidentialité des serveurs

Certains serveurs (trop peu !) offrent le service de confidentialité persistante (forward secrecy). Cette option vous permettra de sécuriser vos données présentes, mais également les données passées qui auraient pu être compromises.

5. Les bonnes pratiques

Vous avez pris les devants et décidé de déminer le sujet Heartbleed, peut-être que ce n’est pas le cas de tous vos partenaires et prestataires ! N’hésitez pas à partager avec eux les bonnes pratiques en la matière.

6. Identifiants & mots de passe

Au cours des derniers mois vous avez pu visiter certains sites ou utiliser certains processus corrompus. C’est le moment idéal pour changer vos mots de passe et identifiants de connexion.

Exemple d’utilisation de l’outil Qualys

heartbleed resume.png

Atout DSI

FavoriteLoadingAjouter à mes favoris

Une réponse

  1. Jérémy

    D’ ailleurs, il faut en urgence (maintenant que tous les petits malins du web sont au courant) faire patch de tous les linux utilisant, et changer toutes les clés privées… (Pour répondre à la question que tout le monde se pose, oui, c’est long et pénible)

    Pour ceux qui ne comprennent rien mais qui aimerait comprendre :
    La faille est très simple dans le principe : pour une utilisation normale, la librairie SSL renvoie des données provenant de la mémoire du serveur.
    La faille vient du fait que si on demande à renvoyer plus de données que ce qu’on est censé, et bien… elle le fait !
    Pour résumer, une personne va pouvoir à distance « dumper » la mémoire du serveur allouée par la librairie (avec un max de 64k).
    Si par malheur dans ces 64k, il y a une clé privée du serveur, la personne obtient potentiellement les droits attribués au certificat.

    Cette faille fait le « buzz » parce que d’après ce qui a été dit, c’est un développeur qui en regardant le code pour faire une évolution, c’est dit : « What is this fucking backdoor ???!! »
    On apprendra dans 30 ans comment (et peut-être pour qui) cela s’est retrouvé là…

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.