Tags : newssiteinformatiqueévénementinternetespionnagegroumpflogicielLibreserveurwebsécuritéactu


Vous avez peut-être entendu parler d'HeartBleed, peut-être pas.
Il s'agit d'une faille qui a été découverte dans l'implémentation d'OpenSSL qui permet notamment d'avoir accès à des portions de mémoire du serveur.

OpenSSL ?

Il s'agit d'une boîte à outils logicielle qui est notamment utilisée pour la gestion des certificats de sécurité et des connexion en SSL/TLS (https par exemple, mais aussi IMAPS / SMTPS pour les emails passants par SSL/TLS).

Pourquoi HeartBleed ? C'est quoi ?

Il se trouve que cette faille touche l'extension HeartBeat d'OpenSSL. Cette faille permet à une machine quelconque de lire et d'écrire des portions de mémoire (64 ko par heartbeat) sur le serveur, sans autorisation préalable et sans laisser aucune trace.

C'est donc une faille très importante qui a été découverte.

Que faut-il faire ?

Tout d'abord mettre à jour OpenSSL (à la version 1.0.1g) pour bénéficier du correctif.
Ensuite, il faut regénérer des certificats SSL par précaution (quelqu'un vous a déjà peut-être volé les vôtres, moi je me fais attaquer tous les jours par des chinois alors bon…) car cette faille permet de récupérer les clés privées des certificats SSL générés.

Concernant ArtSoftWare ?

Concernant mes serveurs, j'ai effectué la mise à jour et surtout regénéré mes certificats.

Il vous faudra donc réimporter le nouveau certificat racine — que je devais de toute façon mettre à jour sous peu — pour pouvoir à nouveau utiliser l'interface HTTPS.

Bonne mise à jour :)


Sources :
Heartbeat.com
LinuxFR
Wikipédia