Depuis mardi matin, le 9 avril, de nombreux clients nous ont contacté en panique pour avoir de l’information sur la vulnérabilité poétiquement nommée Heartbleed (cœur qui saigne, en anglais). Ce bogue est effectivement sérieux et l’on ne connaît pas encore son impact réel. La bonne nouvelle, cependant, c’est qu’il a été très rapidement corrigé (comme toujours, avec l’open-source) et qu’on sait déjà comment se prémunir de ses éventuels dangers.
Il s’agit d’une faille de sécurité découverte en début de semaine dans la librairie de chiffrement OpenSSL. Elle crée la possibilité d’une « fuite » de certaines données sensibles à la suite d’une connexion théoriquement étanche.
▶ Plus de détails en français dans Que sait-on de « Heartbleed » ? (Le Monde)
C’est difficile à dire à l’heure actuelle mais, potentiellement, tout le monde. La plupart des services qui utilisent le protocole de chiffrement TLS/SSL s’appuient sur la librairie OpenSSL et ils sont nombreux : serveurs Web, serveurs de messagerie, serveurs ssh, ftp, sql, etc.
En clair, la plupart des services sécurisés que vous utilisez ont pu être affectés par ces fuites, notamment les sites Web dont les URL commencent pas https://, incluant Twitter, Facebook, Linkedin, Google Plus, les extranets et sites Web d’un nombre incalculable d’entreprises, ceux de votre banque, de votre fournisseur Internet, de nombreuses administrations publiques… et peut-être aussi vos propres serveurs!
Les principales distributions Linux, incluant :
Oui. Certains outils comme CVSS permettent d’évaluer l’impact d’une vulnérabilité. En ce qui concerne Heartbleed, le score CVSS de base est de 9,4 sur 10. Ce n’est pas rien.
En tant qu’internaute, nous vous recommandons fortement de suivre les conseils des fournisseurs et sites Web qui, comme Wikipedia, vous recommandent de changer votre mot de passe le plus rapidement possible. Il se peut en effet que vos données d’accès aient déjà été compromises.
▶ En anglais : The Passwords You Need to Change Right Now (Mashable)
Pendant quelques jours, si vous devez vous connecter à un service sécurisé incertain, testez d’abord sa vulnérabilité à l’aide de ce test en ligne rapidement concocté et déposé sur GitHub par Filippo Valsorda, un développeur italien :
Si vous administrez des systèmes Linux susceptibles d’être affectés :
Enfin, tester la vulnérabilité de vos propres services à l’aide du fameux test de Filippo. Le cas échéant, mettez à jour vos serveurs et pensez à redémarrer chacun des services après la mise à jour. Si aucune mise à jour n’est disponible, il est toujours possible de compiler une version d’OpenSSL sans l’option heartbeat à l’aide de cette commande : -DOPENSSL_NO_HEARTBEATS.
▶ Mise à jour – Jérôme Oufella, notre VP Technologies, ajoute ce commentaire : « Un point important, étant donné que la faille est dans le vent depuis pas mal de temps et que les informations privées des clefs ont été exposées, c’est qu’on ne peut plus avoir confiance dans ce matériel privé. Pour avoir la conscience tranquille, on devra donc régénérer les clefs privées, faire invalider les certificats potentiellement compromis et en obtenir de nouveaux. »
▶ Voir aussi le site complet d’information en anglais mis en ligne par le groupe de sécurité finlandais Codenomicon qui a été à l’origine de cette troublante découverte.
Comments are closed.
La LDAPCon est une conférence internationale autour de la technologie LDAP et des enjeux de gestion des identités, d’authentification et d’habilitation. L’événement qui se déroulera cette année à Bruxelles du 19 au 20 octobre, se tient tous les deux ans dans un pays différent : 2007 à Cologne en Allemagne 2009 à Portland aux États-Unis […]
Savez-vous comment automatiser l’installation ainsi que la configuration de Nexus Repository Manager version 3.x avec Ansible ? Pas encore ? On vous donne un coup de pouce ici ! Pour rappel, Ansible est un outil de déploiement qui permet à des playbooks d’automatiser les déploiements d’applications et d’infrastructure. L’avantage clé d’Ansible est sa flexibilité puisqu’il […]
Nous sommes heureux de vous annoncer la sortie d’une vidéo promotionnelle produite par Microsoft eux-même ! Fruit d’une collaboration autour de la plateforme Azure, cette vidéo souligne la pertinence et l’essor des technologies open source dans l’environnement infonuagique Azure de Microsoft ainsi que notre capacité d’innovation en combinant technologies open source […]
L’authentification unique (en anglais Single Sign On ou SSO) est aujourd’hui bien implantée dans les systèmes d’information, grâce à une large offre de produits et surtout de nombreux standards comme CAS, SAML ou OpenID Connect, pour ne citer que les plus importants. Cependant, ce domaine reste difficile d’accès car chaque nouvelle norme demande un temps […]
La Ville de Villeurbanne mise sur l’Open Source et choisit LemonLDAP::NG pour contrôler les droits d’accès de ses utilisateurs. La Ville de Villeurbanne possédait plusieurs applications Web dont l’authentification était déjà déléguée à un serveur central CAS (Central Authentification Services), modifié pour les besoins de Villeurbanne pour donner accès à la fois aux utilisateurs internes […]
Un point important, étant donné que la faille est dans le vent depuis pas mal de temps et que les informations privées des clefs ont été exposées, c’est qu’on ne peut plus avoir confiance dans ce matériel privé. Pour avoir la conscience tranquille, on devra donc régénérer les clefs privées, faire invalider les certificats potentiellement compromis et en obtenir de nouveaux.