Ultrawaves.fr

Aujourd'hui mardi 8 avril 2014, une faille nommée "Heartbleed" a été découverte sur OpenSSL http://heartbleed.com/

OpenSSL est utilisé pour gérer les certificats X.509 et le chiffrement SSL/TLS. Beaucoup d'applications font appel à OpenSSL, notamment Apache pour le HTTPS, mais aussi les serveurs de mail ou les serveur IRC, pour le chiffrement entre le client et le serveur.

D'autres applications intègrent SSL comme TOR. Il vous faut surveiller et appliquer les mises à jour de ses applis.

Cette faille dans le mécanisme dit "Heartbeat" permet d'extraire 64kb de données au serveur à chaque tentative. L'une après l'autre ces tentatives peuvent permettre de récupérer la clé privée du serveur, mettant en danger le certificat SSL du serveur ainsi que le chiffrement des données échangées.

La faille est publique depuis cette nuit mais elle était dans la nature depuis 2012. Sont concernées les versions de OpenSSL de 1.0.1 à 1.0.1f. Les versions antérieures et ultérieures ne sont pas impactées. Pour les versions vulnérables, la plupart des distributions Linux distribuent un patch, correspondant au binaire d'OpenSSL recompilé sans l'option "Heartbeat", ce qui inhibe la faille.

Face à cette faille voici quelques opérations à mettre en oeuvr :

1°) Vérifier si les serveurs que vous contactez sont vulnérables ou non : http://filippo.io/Heartbleed/

2°) Vérifiez que vous négociez le Perfect Forward Secrecy avec le serveur (en utilisant l'extension Calomel SSL par ex) pour éviter l'interception des données.

3°) Si vous gérez un serveur, mettez à jour votre OS et redémarrez vos services crypto et web. Je recommande même un redémarrage global de la machine.

4°) Si vos certificats SSL protègent des choses sensibles, révoquez les anciens certificats et générez des nouveaux. Profitez en pour utiliser sha256 comme digest, le sha-1 utilisé par défaut est désormais considéré comme trop faible.

Avec ces mesures, vous ne prenez aucun risque face à cette faille de sécurité.