{"id":658,"date":"2014-04-14T21:03:31","date_gmt":"2014-04-14T19:03:31","guid":{"rendered":"http:\/\/gcolpart.evolix.net\/blog21\/?p=658"},"modified":"2014-04-16T13:42:36","modified_gmt":"2014-04-16T11:42:36","slug":"informations-a-propos-heartbleed-la-faille-de-securite-openssl","status":"publish","type":"post","link":"https:\/\/gcolpart.evolix.net\/blog21\/informations-a-propos-heartbleed-la-faille-de-securite-openssl\/","title":{"rendered":"Informations \u00e0 propos d’Heartbleed, la faille de s\u00e9curit\u00e9 d’OpenSSL"},"content":{"rendered":"

Voil\u00e0 maintenant une semaine a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e la faille Heartbleed<\/em><\/a> touchant certaines versions r\u00e9centes de la biblioth\u00e8que OpenSSL. OpenSSL<\/a> est un Logiciel Libre notamment utilis\u00e9 pour les protocoles s\u00e9curis\u00e9s HTTPS ou IMAPS. Cette faille a \u00e9t\u00e9 surm\u00e9diatis\u00e9e et plusieurs clients nous ont interrog\u00e9 \u00e0 ce sujet. M\u00eame si cela date un peu, il s’av\u00e8re plus pratique et plus transparent de mettre nos r\u00e9ponses sur ce blog.<\/p>\n

Qu’est-ce que la faille Heartbleed ?<\/strong><\/p>\n

Il s’agit d’une faille de s\u00e9curit\u00e9 touchant OpenSSL permettant d’acc\u00e9der \u00e0 une partie (64 Ko) quasi-al\u00e9atoire de la m\u00e9moire d’une application via le protocole SSL\/TLS. Cela concerne \u00e9videmment les services<\/strong> utilisant SSL\/TLS accessibles publiquement<\/strong> comme HTTPS, IMAPS, POPS, SMTPS ou encore SMTP over TLS. Cela peut aussi concerner les logiciels client<\/strong> faisant des requ\u00eates via SSL\/TLS sur des serveurs malicieux.<\/p>\n

La partie de la m\u00e9moire d\u00e9voil\u00e9e \u00e9tant plus ou moins al\u00e9atoire, on peut consid\u00e9rer que de multiples requ\u00eates permettent de r\u00e9v\u00e9ler l’ensemble de la m\u00e9moire de l’application concern\u00e9e. Cela concerne \u00e9videmment la cl\u00e9 priv\u00e9e SSL utilis\u00e9e mais les autres donn\u00e9es syst\u00e8me et applicative charg\u00e9e en m\u00e9moire par l’application (mot de passe d’une base de donn\u00e9es, contenu de \/etc\/passwd<\/em>, contenu d’une base de donn\u00e9es, etc.). Certains experts affirment m\u00eame que l’ensemble de la m\u00e9moire d’une machine impact\u00e9e pourrait \u00eatre accessible.<\/p>\n

Mon serveur infog\u00e9r\u00e9 par Evolix a-t-il \u00e9t\u00e9 concern\u00e9 ?<\/strong><\/p>\n

Nous g\u00e9rons des serveurs avec le syst\u00e8me Debian GNU\/Linux. Les serveurs utilisant Squeeze (Debian 6) ne sont pas impact\u00e9s.<\/strong> Les serveurs utilisant Wheezy (Debian 7) sont directement concern\u00e9s si ils ont un service HTTPS ou\u00a0 POPS\/IMAPS ou SMTP publiquement accessibles, et indirectement si ils peuvent faire de nombreuses requ\u00eates SSL\/TLS vers des serveurs non s\u00fbrs situ\u00e9s \u00e0 l’ext\u00e9rieur.<\/p>\n

Mon serveur infog\u00e9r\u00e9 par Evolix a \u00e9t\u00e9 concern\u00e9, que dois-je faire ?
\n<\/strong><\/p>\n

La faille a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e lundi 7 avril 2014 vers 21h. Nous nous sommes pench\u00e9s sur cette faille \u00e0 partir de 00h15 (bug signal\u00e9 sur notre IRC priv\u00e9, merci Arnaud<\/a>) et nous avons mis \u00e0 jour tous les serveurs directement concern\u00e9s dans les heures qui ont suivi et le lendemain. Votre serveur n’est donc plus vuln\u00e9rable. <\/strong>Mais il a pu l’\u00eatre pendant au moins quelques heures. Une analyse du trafic r\u00e9seau et des logs suspects (connexions STARTTLS via SMTP, requ\u00eates HTTPS sans contenu, etc.) nous laissent penser qu’il n’y a pas eu d’attaque sur ce laps de temps. Cela \u00e9tant dit, par principe de pr\u00e9caution et<\/strong> car dans tous les cas cela doit \u00eatre fait r\u00e9guli\u00e8rement, nous conseillons tout de m\u00eame de renouveler toutes les informations secr\u00e8tes sur les serveurs directement impact\u00e9s (mots de passe, cl\u00e9s priv\u00e9es, etc.)<\/strong>. Vous devez \u00e9galement relancer toutes les applications qui utilisent libssl (d\u00e9mons en Python ou Ruby, etc.).<\/p>\n

Et sur mon poste de travail, que dois-je faire ?<\/strong><\/p>\n

Vous devez mettre-\u00e0-jour vos postes de travail imm\u00e9diatement. Avant de vous connecter \u00e0 un site en HTTPS, vous pouvez v\u00e9rifier qu’il n’est plus vuln\u00e9rable<\/a>. Il est \u00e9galement conseill\u00e9 de renouveler vos mots de passe sur les diff\u00e9rents services en ligne (notamment Google, Github, Facebook, Twitter, Amazon…<\/a>) : de toutes fa\u00e7ons vous devez le faire r\u00e9guli\u00e8rement, c’est donc une bonne occasion de le faire !<\/p>\n

Des conclusions \u00e0 tirer de cette affaire ?<\/strong><\/p>\n

Il n’y a rien de vraiment nouveau, si ce n’est qu’il est d\u00e9sormais difficile d’ignorer que :
\n– l’application r\u00e9guli\u00e8re des mises-\u00e0-jour de s\u00e9curit\u00e9 est essentielle, vous ne pouvez pas vous contenter d’installer un serveur et ne pas vous en occuper, surtout si il est accessible publiquement ;
\n– vous devez exposer publiquement le moins de choses possibles : cela passe par un firewall qui va restreindre un maximum de services par adresse IP, et par la d\u00e9sactivation de tous les fonctionnalit\u00e9s inutiles (avez-vous vraiment besoin d’Apache\/SSL si votre site web ne tourne pas en HTTPS ?\u00a0 l’activation de STARTTLS sur votre Postfix est-elle vraiment n\u00e9cessaire ?) ;
\n– toutes les informations secr\u00e8tes doivent \u00eatre chang\u00e9s r\u00e9guli\u00e8rement (cl\u00e9s priv\u00e9s, mots de passe, certificats, etc.) et changeables rapidement en cas de besoin… l’utilisation d’un gestionnaire de mot de passe \u00e9tant indispensable.<\/p>\n","protected":false},"excerpt":{"rendered":"

Voil\u00e0 maintenant une semaine a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e la faille Heartbleed touchant certaines versions r\u00e9centes de la biblioth\u00e8que OpenSSL. OpenSSL est un Logiciel Libre notamment utilis\u00e9 pour les protocoles s\u00e9curis\u00e9s HTTPS ou IMAPS. Cette faille a \u00e9t\u00e9 surm\u00e9diatis\u00e9e et plusieurs clients nous ont interrog\u00e9 \u00e0 ce sujet. M\u00eame si cela date un peu, il s’av\u00e8re plus […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,72],"tags":[],"class_list":["post-658","post","type-post","status-publish","format-standard","hentry","category-evolix","category-french"],"_links":{"self":[{"href":"https:\/\/gcolpart.evolix.net\/blog21\/wp-json\/wp\/v2\/posts\/658","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/gcolpart.evolix.net\/blog21\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/gcolpart.evolix.net\/blog21\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/gcolpart.evolix.net\/blog21\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/gcolpart.evolix.net\/blog21\/wp-json\/wp\/v2\/comments?post=658"}],"version-history":[{"count":10,"href":"https:\/\/gcolpart.evolix.net\/blog21\/wp-json\/wp\/v2\/posts\/658\/revisions"}],"predecessor-version":[{"id":668,"href":"https:\/\/gcolpart.evolix.net\/blog21\/wp-json\/wp\/v2\/posts\/658\/revisions\/668"}],"wp:attachment":[{"href":"https:\/\/gcolpart.evolix.net\/blog21\/wp-json\/wp\/v2\/media?parent=658"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/gcolpart.evolix.net\/blog21\/wp-json\/wp\/v2\/categories?post=658"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/gcolpart.evolix.net\/blog21\/wp-json\/wp\/v2\/tags?post=658"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}