Blog GlobalSign

08 avr. 2014

Le Bug Heartbleed - Blog de conseil de sécurité

Une faille importante dans la célèbre bibliothèque de cryptographie open source OpenSSL*, appelée le bug Heartbleed, a été annoncée lundi soir (07/04/2014). Celle-ci concerne les versions 1.01 et OpenSSL 1.0.2 bêta. Si vous utilisez Nginx ou Apache, il existe une forte probabilité que vous utilisiez OpenSSL. Les utilisateurs d’OpenSSL doivent prendre cette faille très au sérieux, car elle permet à un adversaire d’accéder à des informations stockées dans la mémoire d’un serveur Web.

Ces données peuvent se révéler être confidentielles, comme la clé privée du serveur, mais cela ne s’arrête pas là. Toute information se trouvant dans la mémoire du serveur est exposée, y compris les données personnelles des clients.

Ceci ne concerne donc pas exclusivement les serveurs web. Par exemple, si votre connection VPN sécurisée utilise OpenSSL, vous êtes également concerné. L’accès à ce type de renseignements crée une faille dans la mesure où les pirates informatiques peuvent utiliser celles-ci afin de déchiffrer d’anciennes communications (dans les cas où la confidentialité persistante (PFS) n’a pas été activée), voler des données primordiales et, si la clé privée a été compromise, permettre au pirate informatique de se faire passer pour le serveur qui y est associé.

Résolution et Recommandations


Nous recommandons fortement à toute personne utilisant OpenSSL de :

  • Vérifier quelle version d’OpenSSL ils utilisent et de mettre à jour leurs systèmes avec la version corrigée d’OpenSSL qui leur est adaptée.
  • Faire une demande de réémission (avec une nouvelle clé privée) du ou des certificats SSL qui ont été installés sur les serveurs concernés par le bug, d’installer le ou les nouveaux certificats et de demander la révocation du ou des anciens certificats.
  • Utiliser notre contrôleur de configuration SSL pour vérifier si votre serveur est concerné par le bug Heartbleed.

Les clients directs de GlobalSign bénéficient gratuitement de la réémission de leurs certificats. Si vous êtes un client SSL GlobalSign concerné par le bug Heartbleed, veuillez vous référer à notre foire aux questions pour prendre connaissance des instructions à suivre pour réémettre votre certificat SSL.*OpenSSL est une bibliothèque open source permettant d'implémenter un protocole de chiffrement SSL/TLS. Pour plus d’informations, rendez vous sur la page suivante : www.openssl.org

Informations complémentaires :

http://heartbleed.com/
https://www.openssl.org/news/secadv_20140407.txt

Partager ce blog