Mardi 8 avril, on a appris qu’une faille de sécurité d’OpenSSL, un logiciel utilisé par de très nombreux sites internet (repérez le verrou qui s’affiche lors d’un achat ou la lettre « s » accolé au http d’une adresse web), permettait d'accéder à des informations confidentielles comme les identifiants, les mots de passe et les numéros de carte bancaires des internautes.
Cette faille de sécurité critique, nommée Heartbleed, permet à un pirate de rentrer dans la mémoire du serveur du site et d’y récupérer ce type d’informations. Le CERT-Solucom, qui centralise les interventions réalisées par Solucom, cabinet indépendant de conseil en management et IT consulting, en matière de lutte contre la cybercriminalité a publié le 9 avril une liste de recommandations à destination des professionnels qui n’auraient pas encore fait une correction des bibliothèques SSL. Les voici :
1- Nous recommandons dans un premier temps de réaliser un inventaire des équipements utilisant ces bibliothèques, et de procéder à un test de vulnérabilité : soit par l’analyse de la version installée, soit via l’utilisation d’un script :
2- Ensuite, d’appliquer les correctifs de sécurité ;
3- Il est également recommandé de considérer comme compromises les informations ayant transité par ces équipements, et de forcer un renouvellement des mots de passe (utilisateurs, serveurs, etc) ;
4- La clé privée du serveur pouvant également être impactée, il est recommandé de considérer la révocation et le renouvellement des certificats concernés, à minima sur les systèmes sensibles.
Voici les produits concernés :
OpenSSL 1.0.1 à 1.0.1f et OpenSSL 1.0.2-beta
Les branches 0.9.8 et 1.0.0 ne sont pas vulnérables
CERT-Solucom prévient que de nombreuses solutions packagées et appliances reposent sur ces bibliothèques et sont elles aussi vulnérables : reverse proxy, passerelle VPN, etc. Retrouvez ce bulletin de sécurité, mis à jour régulièrement ici : www.solucominsight.fr/2014/04/faille-critique-heartbleed-recommandations-du-cert-solucom/
Et pour information complémentaire, sachez que depuis http://filippo.io/Heartbleed/, vous pourrez tester si un site est vulnérable.