Faille Heartbleed ? Même pas peur !

10 avril 2014  |  Le blog du dev

secureDans la nuit du 8 avril 2014, une faille de sécurité a été révélée dans un logiciel très utilisé, OpenSSL.

OpenSSL est une bibliothèque de cryptage en libre accès sur internet. Mais encore ? Vous voyez ce petit cadenas, accompagné de « https », à gauche d’une adresse web, comme quand vous vous connectez à votre banque, au site des impôts, ou à votre compte Facebook ? Cela signifie que le trafic échangé entre votre PC et le serveur est crypté, notamment pour protéger des informations confidentielles comme des mots de passe ou des données bancaires. Ce cryptage, c’est le rôle d’OpenSSL. Un logiciel utilisé par plus de la moitié de l’internet mondial. Et qui n’est supervisé que par un seul ingénieur à temps plein.

Or quand vous vous connectez à Gestan Cloud, c’est aussi en https !

Notre service technique (thks Jean-Pierre) a étudié le problème : Oui, cette faille existe bien, et touche les ordinateurs sous Linux. Dans certains cas, le pirate peut accéder à un bloc de 64 Ko de mémoire vive de l’ordinateur de taille. En théorie il peut de cette manière voler la clé SSL utilisée par la machine, et avoir accès à tous les données. Il n’en reste pas moins que cette faille est difficilement exploitable en pratique, le malfaiteur, même s’il accède à un bloc de mémoire vive, n’est pas censé savoir de quoi il s’agit (clé SSL, mot de passe, ou partie de fichier de travail, de fichier temporaire).

Mais de toute façon, les serveurs Gestan Cloud n’étant pas sous Linux, nous ne sommes totalement à l’abri de cette faille.

Donc HeartBleed ? Même pas peur !

De nombreux utilisateurs de Gestan sauvegardent leurs données sur des NAS : attention, pour ceux qui utilisent OpenSSL, comme par exemple les NAS Synology, il faut mettre à jour le firmware !

Sous Linux, pour mettre à jour OpenSSL, utilisez la commande (ici pour Ubuntu) :  apt-get update && apt-get install openssl libssl1.0.0 –y

Pour tester la faille (sous Linux) : http://possible.lv/tools/hb/

En savoir plus sur Heartbleed.


Leave a Reply

Vérification antispam * Time limit is exhausted. Please reload CAPTCHA.