Heartbleed

heartbleedDans la nuit du lundi 7 au mardi 8 avril 2014, une équipe de chercheurs du Codenomicon et le chercheur Neel Mehta de Google Security ont découvert une faille dans la librairie open-source OpenSSL, utilisée pour gérer la couche SSL/TLS de nombreux logiciels (serveurs webs, webmails, VPN, messagerie instantanée…).

La faille, baptisée Heartbleed, est une vulnérabilité sérieuse dans le protocole d’encryption OpenSSL, utilisé pour chiffrer et sécuriser les connexions.

Potentiellement, cette faille permet de dérober des données normalement chiffrées et des clés privées.

Concrètement, cela signifie que toutes les données que nous avons considérées comme sécurisées ne l’étaient pas.

Heartbleed affecte approximativement 66 % des serveurs du monde entier et existe depuis décembre 2011. En exploitant cette faille, un hacker peut lire 64 KB de la mémoire du système protégé par OpenSSL et ainsi voler les mots de passe, les clés de chiffrement, toutes les données qui transitent entre votre ordinateur et le serveur, et ensuite pouvoir se faire passer de manière transparente pour un service web ou un internaute… Cela ne laisse aucune trace : un PoC est disponible.

Déterminer la version d’OpenSSL

Toutes les versions d’OpenSSL 1.0.1 à 1.0.1f inclus sont vulnérables. Pour savoir quelle version d’OpenSSL est actuellement installées sur votre système, tapez :

dpkg -s openssl | grep Version

La faille a été introduit dans OpenSSL en décembre 2011 et s’est retrouvé dans la nature avec la sortie d’OpenSSL 1.0.1 le 14 mars 2012. OpenSSL 1.0.1g, sortie le 7 avril 2014, corrige Heartbleed.

A lire :  Dropbox : accédez facilement à vos fichiers n'importe où

Un service en ligne a également été lancé pour savoir si un serveur est impacté par Heartbleed.

Mettre à jour le serveur

Pour patcher la faille, il faut suivre ces quelques étapes.

  1. mettre à jour OpenSSL
    apt-get update && apt-get upgrade

    La nouvelle version d’OpenSSL qui corrige la faille est sortie le jour de l’annonce de l’existence de Heartbleed donc votre système de gestion de paquets devrait vous proposer la mise à jour.

  2. relancer tous les services utilisant OpenSSL

    Lors de la mise à jour, OpenSSL dresse une liste des services qui dépendent d’OpenSSL et vous propose de les redémarrer : faîtes-le impérativement, c’est le seul moyen de patcher effectivement les services, en renouvellant leur liaison avec les nouveaux fichiers de la librairie.

    Le mieux est probablement de rebooter le serveur, histoire de n’oublier aucun service.

  3. recréer un certificat SSL et regénérer un set de clés privées/publiques

    Les clés privées ayant pu être récupérées via la faille, le contenu de ce qui était chiffré peut être déchiffré et tout ce qui sera chiffré dans le futur avec ces mêmes clés pourra potentiellement être déchiffré aussi.

    Pour s’en prémunir, il vaut mieux recréer un certificat SSL et regénérer un set de clés privées/publiques.

    J’ai ébauché un article sur ce sujet, je le publierai dès qu’il sera achevé.

  4. changer les mots de passe des services impactés.

    Il ne vous reste plus qu’à réinitialiser les mots de passe de vos utilisateurs et des services utilisant TLS qui auraient pu être récupérés.

Cette dernière étape est bien sûr à faire une fois qu’OpenSSL a été mis à jour, le serveur ou les services rebootés et le certificat SSL et les clés changés.

What now?

On aura rarement vu autant de serveurs impactés par une telle faille, qui a poussé nombre de sysadmin à rebooter leurs serveurs. Pour nos données personnelles/confidentielles par contre, cela laisse un goût un peu amer, lorsque l’on sait que la faille existe depuis 2012 et que des sites comme Gmail, Yahoo, Facebook, Dropbox etc ont tous été impactés. Tout comme nos banques.

Pour développer votre projet WordPress ou Woocommerce, faites appel à mon expertise pour réaliser un site rapide, performant et fonctionnel.

Contactez-moi

Si vous avez trouvé une faute d’orthographe, informez-nous en sélectionnant le texte en question et en appuyant sur Ctrl + Entrée s’il vous plaît.

Articles en rapport:

La faille Heartbleed dans OpenSSL : mettez à jour vos serveurs

par Matt Lecture: 3 min
0

Pin It on Pinterest

Share This

Spelling error report

The following text will be sent to our editors: