La semaine dernière, une faille baptisée « Heartbleed » a été détectée dans la bibliothèque de chiffrement OpenSSL (http://heartbleed.com). Cette bibliothèque est particulièrement utilisée sur des applications et serveurs Web comme Apache et Nginx. Concrètement, les versions 1.0.1 à 1.0.1f d’OpenSSL présentent une faille que des attaquants peuvent exploiter pour lire la mémoire des systèmes hôtes. Ainsi, ils pourront accéder aux clés secrètes qui leur permettront de décrypter et d’intercepter les communications sécurisées via SSL, voire même de se faire passer pour des fournisseurs de services. Mais le danger ne s’arrête pas là puisque les données en mémoire pourront également contenir des informations sensibles, telles que des noms d’utilisateur et des mots de passe.
Heartbleed ne constitue en rien une vulnérabilité des protocoles SSL/TLS. Il s’agit en fait d’un bug logiciel dans l’implémentation de l’extension OpenSSL « heartbeat ». Bref, la technologie SSL/TLS n’est aucunement remise en question. Elle est et demeure la référence absolue en matière de cryptage des transferts de données sur Internet. Le problème provient de l’omniprésence d’OpenSSL. D’après un rapport Netcraft, deux tiers des serveurs Web sur Internet seraient équipés de ce logiciel. Toutes ces entreprises devront donc passer à la dernière version corrigée de la bibliothèque (1.0.1g) ou recompiler OpenSSL sans l’extension heartbeat dès que possible.
De son côté, en tant que leader mondial des autorités de certification, Symantec a déjà pris un certain nombre de mesures pour renforcer ses systèmes. Bien que nos certificats racines ne soient pas exposés, nous avons décidé d’appliquer les bonnes pratiques de rigueur, à savoir la redéfinition des clés de tous les certificats sur les serveurs Web équipés des versions vulnérables d’OpenSSL.
Une fois leurs systèmes mis à jour ou recompilés, Symantec recommande aux entreprises de remplacer tous leurs certificats – quel qu’en soit l’émetteur – sur leurs serveurs Web afin de limiter les risques de violations de sécurité. Pour les y encourager, nous offrirons à tous nos clients la possibilité de remplacer gratuitement leurs certificats.
Enfin, par simple mesure de précaution, Symantec demande à ses clients de réinitialiser les mots de passe de leur console de gestion de certificats SSL et Code Signing. Nous encourageons également les entreprises à inciter leurs clients à en faire de même une fois leurs systèmes corrigés. De notre côté, nous poursuivrons notre coopération avec nos propres clients pour minimiser l’impact de cette vulnérabilité sur leur sécurité.
Pour vous faciliter la tâche, nous dressons ici un point rapide sur les mesures à prendre :
Entreprises :
- Si vous utilisez les versions OpenSSL 1.0.1 à 1.0.1f, installez la dernière version corrigée du logiciel (1.0.1g) ou recompilez votre version existante sans l’extension heartbeat.
- Une fois la version corrigée d’OpenSSL installée, remplacez également le certificat du serveur Web concerné.
- Enfin, par mesure de précaution, réinitialisez vos mots de passe utilisateur. En effet, ces derniers auront pu être décryptés dans la mémoire des serveurs compromis.
Particuliers :
- Si votre fournisseur de services a été touché par Heartbleed, il est possible que vos données aient été interceptées par un cybercriminel.
- Restez attentifs aux avis des éditeurs et fournisseurs dont vous êtes client. Si ces derniers vous demandent de modifier votre mot de passe, faites-le sans tarder.
- Méfiez-vous des éventuels e-mails de phishing vous demandant de modifier votre mot de passe. Pour éviter de vous retrouver sur un site Web frauduleux, limitez-vous au domaine du site officiel.