Le Bug Heartbleed

Le Bug Heartbleed

Le bug heartbleed

Le bug Heartbleed est une vulnérabilité découverte dans la librairie de cryptage Open SSL.
Ce bug permet le vol d'informations protégés normalement par le cryptage SSL/TLS.
Sont affectées les connexions en https, smtps, pop3s, la messagerie instantannée et certains VPS.

Le bug heartbleed permet à n'importe qui de lire une partie de la mémoire des systèmes protégés  par la version vulnérable de OpenSSL. Les clefs utilisées pour se connecter, clefs privées, peuvent avoir été compromises ainsi que les identifiants et mots de passe des utilisateurs et le contenu transmis. Un attaquant peut de se fait écouter les connexions, voler des informations à partir des services compromis ou se faire passer pour ces services ou ces utilisateurs.

Gravité de la faille


Les tests effectués par codenomicon ont permis d'attaquer leur propre système sans laisser aucune trace visible dans les logs, donc indétectable. Sans aucune connexion sécurisée, ils ont pu voler les clefs secrètes de leur serveur, les noms d'utilisateurs et leurs mots de passe ainsi que le contenu échangé par ces derniers sur les serveurs compromis.
Les serveurs concernés représentant plus de 66 % des serveurs utilisés sur le réseau, on comprend facilement que nous avons à faire au plus grave risque jamais connu de l'internet.

Mesures d'urgence


Le plus urgent est d'effectuer une mise à jour de OpenSSL, les versions patchées étant disponibles pour tous les systèmes linux.
Le risque de perte ou de vol de la clef secrète des serveurs entraine l'obligation de regénérer cette dernière et par là même de refaire le certificat de sécurité l'accompagnant.
Le risque de vol de l'identifiant ou du mot de passe entraine pour tout utilisateur l'obligation de changer son mot de passe.
Les cookies de session vous permettant de vous connecter facilement à votre site doivent être détruits et le cache des navigateur doit être vidé.
Le contenu des données, ayant pu être échangé pendant cette faille doit être considérée comme vulnérable. Les données échangées concernant des individus et leur vie privée impliquent l'obligation de prévenir ces utilisateurs des risques encourus.

Historique


Ce bug a été rendu public le 7 avril 2014 à 17h30.
CentOS, sur lequel sont installés la plupart de nos serveurs, a mis en place un patch de sécurité pour ce bug le 8 avril à 2h54
Ne sont affectées sur les serveurs CentOS que les versions 6.5, les autres ne le sont pas.
La version openSSL compromise sur ces serveurs est la version 1.0.1e-15.
Pour savoir quelle version vous utilisez connectez vous sur votre serveur avec webmin, puis dans webmin, cliquez sur Système, composants logiciels, puis cherchez le composant openssl, une fois que vous avez cliqué sur ce dernier s'affiche sa version, qui doit être 1.0.1e-16,  ainsi que la date de mise à jour. 
Pour information, nos serveurs se mettent à jour automatiquement tous les jours si vous ne modifiez pas la configuration de base installée.
Espace 2001 a mis à jour l'ensemble de ses serveurs le 8 avril 2014 entre 18h43 et 23h00.

Conseils et mesures à prendre par tous nos utilisateurs.

Possesseurs de serveurs


Utilisateurs de nos services

  • Changer vos mots de passe après vous être asssuré que votre fournisseur a mis à jour et protégé son serveur. C'est le cas d' Espace 2001.
  • Vider tous vos caches de navigateur
  • Vous assurer que le contenu que vous avez échangé ne présente pas de risques pour vos clients et les prévenir de ce risque (carte de crédit etc...)

Clients de nos certificats de sécurité



Nous sommes conscients de l'étendue des problèmes posés à tous nos utilisateurs et vous prions de nous en excuser.
Espace 2001 vous invite à suivre scrupuleusement les recommandations et conseils indiqués ci-dessus. A défaut, vous ne pourriez pas être assuré de la confidentialité de vos données ni de la sécurité de vos serveurs et logiciels.
La réemisssion de votre certificat de sécurité n'est pas facturée par Espace 2001, elle est gratuite.
Nous sommes à votre disposition pour toute demane d'aide ou d'intervention sur ce sujet qui doit être considéré comme grave et dangereux.
Pour toute demande merci d'utiliser notre système de ticket.

Cette réponse était-elle pertinente?

 Imprimer cet article

Consultez aussi

Mon poste de travail est-il infecté

Génerer un CSR

Générer un CSR en ligne de commande Connectez vous en SSH à votre...

Regénérer votre certificat SSL

Vous pouvez regénérer gratuitement tout certificat de sécurité...

Le parapluie d'Espace 2001

Le Parapluie d'Espace 2001Nos analyses ont montré qu'une IP attaquant un serveur en attaquait...

Serveur anti spam

Serveurs Anti SpamNous utlisons les filtres anti spam les plus avancés disponibles sur...